Hogyan működik a FIDO, és mi a probléma?
A FIDO passkey lényege, hogy kiiktatja a jelszavakat, sőt a hagyományos többfaktoros hitelesítést is. A belépéshez használt titkos kulcsrészlet kizárólag a felhasználó eszközén marad, így azt elvileg nem lehet lehallgatni vagy eltulajdonítani. A Microsoft Entra ID-val védett fiókok emiatt rendkívül biztonságosnak számítanak – egészen mostanáig.
Így kerülik ki a védelmet
A támadók az Evilginx nevű eszközben egyedi modult készítettek, amely a böngésző “user agent” azonosítóját meghamisítja, így azt szimulálja, hogy a felhasználó olyan böngészőt használ, amely nem támogatja a FIDO-t. Konkrétan a kutatók a Safari böngészőt “telepítették” Windowsra, amely hivatalosan nem működik együtt a FIDO-azonosítással.
Ez a trükk azt eredményezi, hogy a Microsoft Entra ID egyszerű hibaüzenetet ad, majd felajánlja a gyengébb alternatívákat: például az Authenticator alkalmazást, SMS-kódot vagy egyszeri jelszót. Ha a célszemély ezek bármelyikét választja, a támadó az Evilginx segítségével mind a hitelesítési adatokat, mind a munkamenet-sütit megszerzi. Ezt a sütit importálva a támadó teljes körű hozzáférést kap az áldozat fiókjához – vagyis éppen ahhoz, amit a FIDO-nak meg kellene akadályoznia.
Kik vannak veszélyben, és mit lehet tenni?
Bizonyítottan eddig még nem használták tömegesen ezt a módszert, a legtöbb támadás továbbra is a sebezhetőbb, MFA nélküli fiókok ellen irányul. Ám célzott támadásoknál a kockázat jelentős. Megelőzésként ajánlott kikapcsolni az alternatív hitelesítési módszereket, vagy további ellenőrzéseket bevezetni, ha például egy megszokottól eltérő bejelentkezési mód jelenik meg. Ha pedig a rendszer szokatlan módon alternatív azonosítást kér, inkább szakítsd meg a folyamatot, és ellenőrizd hivatalos csatornán.
Más downgrade trükkök és ezek buktatói
Az Expel kutatói júliusban egy másik FIDO-lefokozó támadással próbálkoztak: egy hamis oldalra csalták az áldozatot, ahol QR-kódot generáltak, hogy azt egy másik eszközzel beolvassa. Bár a módszer érdekes volt, kiderült, hogy a gyakorlatban nem működőképes, mert a sikeres azonosításhoz bizonyos fizikai közelség szükséges – így ez a csalási kísérlet megbukott.
