Een nieuw rapport van het browserbeveiligingsbedrijf SquareX Ltd. onthult een kritieke kwetsbaarheid in passkeys, de technologie die wereldwijd steeds vaker wordt gepresenteerd als veiliger alternatief voor wachtwoorden. Volgens de onderzoekers kunnen aanvallers via kwaadaardige browserextensies of geïnjecteerde scripts accounts overnemen bij onder meer banken, webshops en zakelijke SaaS-applicaties.
Browserextensies
Passkeys zijn de afgelopen jaren snel in opmars gekomen. De FIDO Alliance schat dat er inmiddels meer dan vijftien miljard passkey-accounts actief zijn. Het idee achter passkeys is dat ze wachtwoorden vervangen door cryptografische sleutelparen. De privé-sleutel blijft lokaal op het apparaat van de gebruiker, terwijl de server authenticatie uitvoert met de bijbehorende publieke sleutel. Op die manier zouden risico’s van zwakke of hergebruikte wachtwoorden worden vermeden.
Brute-force-aanvallen
In de praktijk verloopt inloggen met een passkey via een biometrische prompt, hardware token of pincode. Dat proces zou phishing en brute-force-aanvallen moeten tegengaan, omdat er geen gedeelde geheimen bestaan. Maar volgens SquareX is de veiligheid afhankelijk van de integriteit van de browser zelf. Aangezien alle communicatie via de browser loopt, kunnen kwaadwillenden met relatief simpele scripts het passkeyproces manipuleren.
Malafide extensies
De onderzoekers laten zien dat aanvallers via malafide extensies nieuwe registraties kunnen vervalsen, biometrische controles omzeilen en gebruikers kunnen misleiden om opnieuw in te loggen onder de controle van de aanvaller. Voor gebruikers ziet dit eruit als een volledig legitiem proces, zonder visuele aanwijzingen of afwijkingen in het netwerkverkeer.
“Passkeys worden enorm vertrouwd. Zodra mensen een biometrische prompt zien, nemen ze aan dat hun sessie veilig is”, zegt SquareX-onderzoeker Shourya Pratap Singh. “Wat ze niet weten, is dat aanvallers die workflow eenvoudig kunnen kapen. Daarmee lopen zowel consumenten als bedrijven, inclusief banken en dataplatforms, groot risico.”
Kwetsbaarheid
De kwetsbaarheid is extra zorgelijk omdat traditionele beveiligingsoplossingen, zoals EDR (endpoint detection and response) of SASE (secure access service edge), geen zicht hebben op wat er in de browser gebeurt. Volgens SquareX-oprichter Vivek Ramachandran maakt dat ondernemingen die sterk afhankelijk zijn van SaaS-apps extra kwetsbaar.
SquareX, dat sinds de oprichting in totaal 26 miljoen dollar aan durfkapitaal heeft opgehaald, benadrukt dat een specifieke beveiligingslaag in de browser essentieel is om passkeymisbruik tegen te gaan.