SlowMist Technologyの最高情報セキュリティ責任者である23pdsは、WebAuthnのキーを用いたログインに関する新たなセキュリティ脅威を指摘しました。研究者たちは、有害なブラウザ拡張機能を介してAPIを乗っ取るか、クロスサイトスクリプティング(XSS)の脆弱性を悪用することで、悪意のある攻撃者がWebAuthn認証を回避できる攻撃手法を特定しました。この攻撃により、物理的なデバイスアクセスやFace IDを必要とせずに、パスワードログインへのダウングレードを強制したり、キー登録プロセスを操作して認証情報を盗むことが可能です。 この脆弱性は、WebAuthnを利用して安全な認証を行っているユーザーにとって重大なリスクをもたらし、なりすましやアカウントの乗っ取りにつながる恐れがあります。W3CとFIDOアライアンスによって開発されたWebAuthnは、公開鍵暗号方式を通じてセキュリティを強化し、ハードウェアセキュリティキーや対応デバイスを用いた従来のパスワードに代わる認証手段を提供することを目的としています。