Дослідження, опубліковане стартапом SquareX, стверджує про існування серйозної вразливості в системі паскейсів, яка ставить під сумнів обіцянки безпеки, що їх надають великі технологічні компанії, такі як Apple, Google та Microsoft. Ця інформація з’явилась на конференції Defcon, де були продемонстровані методи атаки, що використовують шкідливі браузерні розширення.
Згідно з SquareX, під час атаки “Passkeys Pwned” зловмисники можуть створити ключі доступу, пов’язані з легітимними доменами, такими як gmail.com. Це дозволяє зловмисникам отримати доступ до хмарних додатків, які використовуються для виконання чутливих операцій. Дослідники вважають, що це спростовує міф про те, що паскейси не можуть бути вкрадені, і підкреслює, що нова технологія ще не пройшла тривалого тестування на безпеку.
Ця знахідка викликає занепокоєння, оскільки вона демонструє, що крадіжка паскейсу може бути такою ж легкою, як і традиційна крадіжка облікових даних. SquareX закликає до підвищення уваги до безпеки в контексті нових технологій автентифікації.