SquareX研究揭示Passkey安全隐忧，挑战行业普遍认知

SquareX公司发布研究报告，声称发现“重大的Passkey漏洞”，并指出其攻击手法“Passkeys Pwned”能够窃取用户凭证，从而动摇苹果、谷歌、微软等公司在Passkey安全承诺上的可信度。该研究指出，攻击者通过恶意浏览器扩展程序，可在用户不知情的情况下劫持Passkey的创建过程，生成并控制与合法域名绑定的密钥对，进而访问用户的云端应用。SquareX认为，此发现证明Passkey并非不可窃取，其安全性易被低估，并警示新技术在经历长期安全考验前，其安全性认知可能存在偏差。该研究结果已在Defcon会议上进行演示。

此发现的即时价值在于揭示了当前用户广泛采用的Passkey认证方式并非无懈可击，尤其是在客户端安全防护薄弱的场景下。其突破性意义在于，挑战了行业内对Passkey“更安全”的普遍认知，并为安全厂商和技术开发者敲响了警钟。该研究可能促使行业重新审视Passkey的端点安全实现，以及加强对恶意浏览器扩展等潜在攻击向量的防御措施，对推广更安全的身份验证机制提出新要求。

查看消息来源