慢雾警告：WebAuthn 密钥登录或存绕过风险

慢雾科技首席信息安全官 23pds 在 X 平台发文警告，研究人员发现一种可绕过 WebAuthn 密钥登录的新型攻击手法。攻击者可通过恶意浏览器扩展或利用网站的 XSS 漏洞劫持 WebAuthn API，进而强制降级为密码登录或篡改密钥注册流程，窃取用户凭据。此类攻击无需物理访问设备或使用 Face ID，用户在含有漏洞或恶意扩展的网站上使用密钥登录时，可能面临身份冒充风险，导致账户被攻破。 WebAuthn 是由 W3C 和 FIDO 联盟制定的安全认证标准，旨在通过公钥密码学替代或补充传统密码，支持硬件安全密钥、平台认证器及 FIDO2 设备。