O pesquisador de segurança Toby Righi demonstrou o primeiro ataque bem-sucedido contra uma passkey, explorando uma vulnerabilidade em navegadores móveis. A falha, registrada como CVE-2024-9956, permitia que um invasor manipulasse o processo de autenticação baseado em passkeys, bypassando a segurança do sistema. Atualizações de segurança foram lançadas para os principais navegadores: Chrome e Edge receberam correções em outubro de 2024, Safari em janeiro de 2025 e Firefox em fevereiro de 2025.
Leia também
Uso de nuvem desafia equipes de cyber
A proteção na Internet das Coisas Médicas
O ataque de Righi exigia proximidade física com a vítima, dentro do alcance do Bluetooth Low Energy (BLE). O invasor poderia utilizar um Raspberry Pi escondido para simular um servidor web local e induzir o usuário a autenticar sua conta sem perceber a interceptação. Um cenário típico envolvia um ponto de acesso Wi-Fi falso em locais públicos, como aeroportos, onde a vítima era redirecionada para uma página de login aparentemente legítima. Ao usar o Passkey, a autenticação era realizada por um dispositivo intermediário do atacante, sem o conhecimento da vítima.
A falha principal residia na capacidade de navegação direta via links FIDO:/, que eliminava a necessidade de escanear um código QR para autenticação segura. Isso permitia que o ataque funcionasse sem que a vítima suspeitasse de interferência. Os navegadores corrigiram a vulnerabilidade ao impedir a navegação por meio de FIDO:/ URI, bloqueando essa forma específica de ataque. Apesar disso, Righi enfatizou que o Passkey continua sendo uma opção mais segura do que senhas tradicionais e autenticação multifator, embora ainda sujeito a explorações avançadas.
