PANews 9月22日消息，据慢雾科技首席信息安全官23pds在X平台发文称，研究人员发现一种可绕过基于WebAuthn密钥登录的新型攻击。攻击者可通过恶意浏览器扩展或利用网站的XSS漏洞劫持WebAuthn API，从而强制降级为密码登录或篡改密钥注册流程以窃取用户凭据。该攻击无需访问设备或Face ID，受害者在存在恶意扩展或漏洞的网站上使用密钥登录时可能会遭遇身份冒充，导致账户被攻破。

WebAuthn（Web Authentication）是由W3C和FIDO联盟制定的一项Web标准，旨在通过公钥密码学实现安全认证，替代或补充传统密码。用户可使用硬件安全密钥（如YubiKey）、内置平台认证器（如Windows Hello、Touch ID、Android生物识别）或符合FIDO2标准的设备完成登录