Een nieuwe aanvalsmethode op het WebAuthn systeem zorgt voor flinke onrust binnen de beveiligingswereld. Onderzoekers van SlowMist slaan alarm over een kwetsbaarheid die het mogelijk maakt om de WebAuthn API te kapen, zelfs zonder fysieke toegang tot het apparaat van de gebruiker. Inloggegevens zijn zo makkelijker te stelen dan velen denken.
Inloggen met sleutel is niet meer automatisch veilig
WebAuthn, een beveiligingsstandaard van de W3C en FIDO Alliance, staat bekend als veilig alternatief voor wachtwoorden. Met fysieke sleutels zoals YubiKey of biometrie zoals Touch ID of Windows Hello kunnen gebruikers normaal gesproken veilig inloggen. Maar een nieuw ontdekte aanvalstechniek zet daar vraagtekens bij. Kwaadaardige browser extensies of XSS kwetsbaarheden op websites maken het mogelijk om de WebAuthn API te manipuleren.
Het gevaar? Aanvallers kunnen gebruikers dwingen om hun wachtwoord te gebruiken in plaats van een sleutel, of zelfs het hele sleutelregistratieproces omzeilen. Hierdoor kunnen ze zich voordoen als het slachtoffer, met alle gevolgen van dien. Wat deze aanval extra zorgwekkend maakt, is dat er geen toegang nodig is tot het apparaat van het slachtoffer, noch Face ID of een vingerafdruk.
Extensies en XSS vormen het grootste risico
Volgens SlowMist zitten de zwakke plekken vooral in kwaadaardige browserextensies en XSS aanvallen (cross site scripting). Als een website vatbaar is voor XSS of een gebruiker een verdachte extensie heeft geรฏnstalleerd, kunnen aanvallers de WebAuthn API direct manipuleren. Hierdoor kan een legitieme sleutel login worden omgezet in een wachtwoord login, waarbij het slachtoffer denkt veilig te zijn terwijl inloggegevens worden onderschept.
WebAuthn is ontworpen om wachtwoorden te vervangen of aan te vullen met publieke sleutelcryptografie. Maar deze aanval bewijst dat de implementatie even belangrijk is als de techniek zelf. Sites met zwakke beveiliging of gebruikers met onbetrouwbare extensies vormen een reรซel risico. Vergelijkbaar met hoe crypto scams vaak misbruik maken van menselijke fouten of zwakke plekken in systemen.
Gebruikers die op dit moment vertrouwen op hardware sleutels of biometrische login doen er goed aan extra alert te zijn. Vermijd het gebruik van onbekende browserextensies en wees voorzichtig met inloggen op minder bekende websites. Voor ontwikkelaars is het cruciaal om XSS gaten te dichten en API integratie goed te beveiligen.
Wil jij altijd op de hoogte blijven van het laatste crypto nieuws? Volg ons dan gratis op Google Nieuws.
20% cashback met de Bybit Card, tot $40 bonus en 10% korting op fees
Bybit EU heeft haar Bybit Card in Europa gelanceerd, waarmee je bij meer dan 90 miljoen winkels kan betalen met je crypto, inclusief een 10% cashback. Om dit te vieren hebben zij een speciale promotie:
- 20% cashback op al je aankopen tot $200 met de Bybit Crypto Card (meer informatie en voorwaarden)
- 10% korting op de handelskosten (30 dagen geldig, zichtbaar tijdens registratie)
- Tot $40 bonus na storting van $400 (meer informatie en voorwaarden)
Alle bovengenoemde bonussen zijn deze maand tegelijkertijd geldig.
Bybit beschikt over een MiCAR licentie en mag officieel in Europa opereren onder de nieuwe regels.
Om aanspraak te maken op de $40 is een storting van minimaal $400 vereist. Bij een storting van minimaal $100 ontvang je $20 (ongeveer โฌ18,50). Alle gebruikers ontvangen de 10% korting op de handelskosten (geldig voor 30 dagen). De 20% cashback met de Bybit Card moet eerst geactiveerd worden.
Bybit heeft wereldwijd meer dan 70 miljoen gebruikers en meer dan 2 miljoen Bybit Card gebruikers. Registreer een account via onderstaande knop en profiteer van de welkomstbonus. Je vindt de voorwaarden op de actiepagina.