PANewsは9月22日、SlowMist Technologyの最高情報セキュリティ責任者（CISO）である23pds氏がXプラットフォームに投稿した記事で、研究者らがWebAuthnのキーベースログインを回避できる新たな攻撃を発見したと報じました。攻撃者は、悪意のあるブラウザ拡張機能を介してWebAuthn APIを乗っ取ったり、ウェブサイトのクロスサイトスクリプティング（XSS）脆弱性を悪用したりすることで、パスワードログインへのダウングレードを強制したり、キー登録プロセスを改ざんしてユーザーの認証情報を盗み出したりする可能性があります。この攻撃には、デバイスへのアクセスやFace IDは必要ありません。悪意のある拡張機能や脆弱性のあるウェブサイトでキーログインを使用した被害者は、なりすまし被害に遭い、アカウントが侵害される可能性があります。

WebAuthn（Web認証）は、W3CとFIDOアライアンスによって開発されたWeb標準です。公開鍵暗号による安全な認証を実現し、従来のパスワードに代わる、あるいは補完することを目的としています。ユーザーは、ハードウェアセキュリティキー（YubiKeyなど）、プラットフォームに組み込まれた認証デバイス（Windows Hello、Touch ID、Androidの生体認証など）、またはFIDO2標準に準拠したデバイスを使用してログインできます。