کمیته رکن چهارم– گروه هکری PoisonSeed با بهرهگیری از تکنیک فیشینگ QR و سوءاستفاده از قابلیت ورود بیندستگاهی، موفق به دور زدن کلیدهای امنیتی FIDO شدهاند؛ روشی که بدون آسیبپذیری در این استاندارد امنیتی، خطر جدی برای حسابهای کاربری ایجاد کرده است.
به گزارش کمیته رکن چهارم، محققان شرکت Expel با بررسی این حملات اعلام کردند که مهاجمان با ارسال ایمیلهای فیشینگ، قربانیان را به صفحات جعلی ورود سازمانی شبیه پورتال Okta هدایت کرده و پس از وارد کردن نام کاربری و رمز عبور، اطلاعات را به سیستم واقعی منتقل میکنند. سپس سیستم واقعی برای احراز هویت، یک کد QR ایجاد میکند که به قربانی نمایش داده میشود. درصورت اسکن این کد توسط اپلیکیشن احراز هویت قربانی، مهاجم دسترسی کامل به حساب کاربری پیدا میکند.
ورود بیندستگاهی یکی از امکانات کلیدهای FIDO است که امکان ورود از دستگاهی فاقد کلید رمزنگاری به کمک دستگاه دیگر را فراهم میکند. PoisonSeed با استفاده از این ویژگی و اجرای حمله Adversary-in-the-Middle، توانسته مکانیسم امنیتی FIDO را بیاثر کند.
در نمونهای دیگر، مهاجم پس از فیشینگ موفق، رمز عبور کاربر را تغییر داده و کلید امنیتی FIDO خود را به حساب قربانی متصل کرده است. این اقدام آسیبپذیری موجود در فرآیند بازیابی حساب را نشان میدهد.
این حملات نشان میدهد که حتی سیستمهایی با طراحی ضدفیشینگ مانند FIDO نیز در صورت استفاده ناآگاهانه و بدون بررسی مقصد نهایی، ممکن است به مخاطره بیفتند. جابهجایی کدهای QR میان واسطهای مختلف، اعتماد بین کاربر و سیستم احراز هویت را خدشهدار میکند.
تحلیلگران تاکید کردهاند که برای حفظ امنیت، اجرای احراز هویت مقاوم در برابر فیشینگ باید در تمامی مراحل مدیریت حسابها، حتی در بازیابی رمز، انجام گیرد.
