Hacker Haben Die Sicherheitsvorkehringen von Fast Identity Online (Fido) Ausgetrickst.
Fido-Schlüssel Verwenden Eine HardwareBasierte Multi-Faktor-AuThentifizierung, Um Schwachstellen Anderer MFA-Methoden Zu Beheben. Der Berüchtigten Krypto-hackergruppe Poisonseed Ist es Jedoch Offenbar Gelungen, Diese Zusätzliche Sicherung Zu Umgehen. Forscher von expulse sind auf eine angriffskampagne der Gruppe gestoßen, bei der fido mit hilfe einer neuen social-ingénierie-taktik überListet wird.
„Wenn ein Benutzer, dessen Konto durch einen FIDO-Schlüssel geschützt ist, seinen Benutzernamen und sein Passwort auf der Phishing-Seite eingibt, werden seine Anmeldedaten wie bei jedem anderen Benutzer gestohlen“, erklären die Security-Spezialisten den besonderen Schutz von Fido dans Einem Blogbeitrag. „Da Sein Konto Jedoch Durch Fido Geschützt Ist, Können Die Angreifer Nicht Physisch mit der Zweiten Form Der Der Authentifizierung Interagieren. »
Geräteübergreifender Komfort Gerät Ins Visier
Allerdings Nutzt Poisonseed Eine Wenig Bekannte Funktion Vieler IdentitätsPlattformen Aus: Die Geräteübergreifende anmeldung par code QR. Angreifer verwenden dabei eine gefälschte anmeldeseite, die oft okta oder ähnliche anbieter imitiert und nach der eingabe des passworts einen qr-code anzeigt. Wenn der Benutzer diesen Qr-Code mit einer légitime authentifilifizierungs-appannt, wird die sitzung abgeschlossen – allerdings für die angreifer.
„Die anmededaten werden mit einer gefälschten okta-seite erfasst und Dann Verwendet, um den Geräteübergrefenden anmeldeprozess aufzurufen, der einen qr-code für légitime zweitgeräte anzeigt“, erklärt jason shoroko, senior belom Vorgehensweise. „Die phishing-website Spiegelt diesen Code Ann Benutzer Zurück, Der ihn mit einer authentifizierungs-appcan. Dadurch ist die fido-prüfung abgeschlossen, obwohl der Physische schlüssel nie bewegt wurde. »
Durch dieses Manöver Erhält der Angreifer eine Aktive Sitzung, Während der Schlüssel Sicher dans Der Tasche des Opfers Bleibt, était belweist, Dass Social Engineering wie vor die schwachstelle ist, fügt er hinzu.
Soroko Empfiehlt, die Geräteübergreifende anmeldung nach möglichkeit zu deaktivieren unf auf unerwartete Geräteregistrierungen oder ungewöhnliche standorte zu achten.
Fido Selbst Ist Nicht Geknackt
Die Forscher von expul Bezeichnen Die Kampagne als BesorgniserRegende EntwickLung, da fido-Schlüssel of als innovation im Bereich der Sicheren Mfa Angesehen Werden. „Wir Haben Zwar Keine Schwachstelle dans Fido-Schlüsseln Entdeckt, Aber It- und Secops-Mitarbeiter Sollten Aufmerksam Sein. Dieser Antriff Zeigt, Wie Ein Krimineller Einen Installienten Fido-Schlüssel Umgehen Kann. »
Experten Schließen Sich den Bedenken von expul einstimmig an. „Diese angriffe knacken nicht die verschlüsselung von fido, Sondern Nutzen Vertrauenswürdige Mitbegründer von Keeper Security. Damit Würden Benutzer Dazu Verleitet, Ungabebsichtigt légitime Anmeldesitzungen Zu initiieren, die vom angreifer kontrolliert werden.
Die stärke von fido lige in Seinem hardwarebasierten schutz, der nach wie vor unglaublich widerstandsfähig sei, fügte er hinzu.
„Unternehmen sollten die warnung auf jeden chut ernst nehmen und zusätzliche Sicherheitsmaßnahmen in betracht ziehen, rät j Stephen kowski Geräteübergreifenden Authentifizierung.
Für Benutzer, die die geräteübergreifende Anmeldung mit FIDO unbedingt aktiviert haben müssen, empfiehlt Expel, sorgfältig zu überprüfen, ob Anmeldeanfragen von verdächtigen Standorten stammen, und nach der Registrierung unbekannter, unerwarteter Oder Nicht Vertrauenswürdiger Schlüssel Zu Suchen. (JM)
