PANews 9月22日消息，據慢霧科技首席資訊安全官23pds在X平台發文稱，研究人員發現一種可繞過基於WebAuthn密鑰登入的新型攻擊。攻擊者可透過惡意瀏覽器擴充或利用網站的XSS漏洞劫持WebAuthn API，從而強制降級為密碼登入或竄改金鑰註冊流程以竊取使用者憑證。此攻擊無需存取裝置或Face ID，受害者在存在惡意擴充功能或漏洞的網站上使用金鑰登入時可能會遭遇身分冒充，導致帳號被攻破。

WebAuthn（Web Authentication）是由W3C和FIDO聯盟制定的一項Web標準，旨在透過公鑰密碼學實現安全認證，取代或補充傳統密碼。使用者可使用硬體安全金鑰（如YubiKey）、內建平台認證器（如Windows Hello、Touch ID、Android生物辨識）或符合FIDO2標準的裝置完成登入