Исследователи из Silverfort обнаружили способ обойти защиту стандарта аутентификации FIDO2 с помощью атаки MitM. Это открывает злоумышленникам доступ к копированию пользовательских сессий в приложениях, использующих технологию единого входа (Single Sign-On, SSO).
FIDO2, предназначенный для замены уязвимых паролей более надёжной многофакторной аутентификацией и биометрией, оказался уязвимым из-за внешних SSO-систем. После успешной аутентификации токены сессий могут быть перехвачены и многократно использованы злоумышленниками для неограниченного доступа к ресурсам пользователя.
Исследователи подчеркнули, что в стандарт FIDO2 сами по себе уязвимости не встроены. Однако отсутствие общепринятого механизма защиты токенов от кражи или злоупотреблений делает систему уязвимой. В FIDO Alliance признали техническую точность исследования Silverfort, но отметили, что проблема лежит в недостаточной защите токенов аутентификации.
Одним из возможных решений является технология привязки токенов (Token Binding), которая связывает токен сессии с подтверждением связи TLS. Это создаёт дополнительный уровень безопасности, предотвращая злоупотребление сессиями. Однако на данный момент эта технология поддерживается только в браузере Microsoft Edge.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.