吴说获悉，慢雾首席信息安全官 23pds 发推表示，研究人员发现一种可绕过 WebAuthn 密钥登录的新型攻击方式。攻击者可通过恶意浏览器扩展或网站的 XSS 漏洞劫持 WebAuthn API，从而强制降级为密码登录或篡改密钥注册流程，进而窃取用户凭据。该攻击无需访问设备本体或 Face ID，一旦用户在受感染网站上使用安全密钥登录，即可能被冒充身份，账户面临被攻破风险。WebAuthn 是一种基于公钥密码学的无密码身份验证标准，旨在用硬件安全密钥或生物识别设备替代传统密码登录。

阅读原文