Theo PANews, một loại tấn công mới đã được xác định có thể vượt qua các hệ thống đăng nhập dựa trên khóa WebAuthn. Phát hiện này được thực hiện bởi 23pds, Giám đốc An ninh Thông tin tại SlowMist Technology, người đã chia sẻ các phát hiện trên nền tảng X. Cuộc tấn công này cho phép kẻ xấu chiếm đoạt API WebAuthn thông qua các tiện ích mở rộng trình duyệt độc hại hoặc bằng cách khai thác các lỗ hổng XSS trên các trang web. Do đó, kẻ tấn công có thể ép buộc giảm cấp xuống đăng nhập bằng mật khẩu hoặc thao túng quy trình đăng ký khóa để đánh cắp thông tin đăng nhập của người dùng.
Lỗ hổng này không yêu cầu truy cập vào thiết bị của nạn nhân hoặc Face ID. Người dùng đăng nhập bằng khóa trên các trang web bị xâm phạm hoặc những người có tiện ích độc hại có thể phải đối mặt với việc bị mạo danh, dẫn đến việc vi phạm tài khoản.
WebAuthn, hay Xác thực Web, là một tiêu chuẩn web được phát triển bởi W3C và FIDO Alliance. Nó nhằm mục đích cung cấp xác thực an toàn thông qua mã hóa khóa công khai, hoặc như một sự thay thế hoặc bổ sung cho mật khẩu truyền thống. Người dùng có thể đăng nhập bằng cách sử dụng các khóa bảo mật phần cứng như YubiKey, các xác thực nền tảng tích hợp như Windows Hello, Touch ID, sinh trắc học Android, hoặc các thiết bị tuân thủ tiêu chuẩn FIDO2.