Eine neue Angriffsmethode auf das WebAuthn-System sorgt für erhebliche Unruhe in der Sicherheitswelt. Forscher von SlowMist schlagen Alarm über eine Schwachstelle, die es ermöglicht, die WebAuthn-API zu kapern – selbst ohne physischen Zugriff auf das Gerät des Nutzers. Anmeldedaten lassen sich so leichter stehlen, als viele denken.
Login mit Schlüssel ist nicht mehr automatisch sicher
WebAuthn, ein Sicherheitsstandard des W3C und der FIDO Alliance, gilt als sichere Alternative zu Passwörtern. Mit physischen Schlüsseln wie YubiKey oder Biometrie wie Touch ID oder Windows Hello können Nutzer normalerweise sicher einloggen. Doch eine neu entdeckte Angriffstechnik stellt dies infrage: Schädliche Browser-Erweiterungen oder XSS-Schwachstellen auf Websites machen es möglich, die WebAuthn-API zu manipulieren.
Die Gefahr? Angreifer können Nutzer zwingen, ihr Passwort statt eines Schlüssels zu verwenden – oder sogar den gesamten Schlüsselregistrierungsprozess umgehen. Dadurch können sie sich als Opfer ausgeben – mit allen Konsequenzen. Besonders besorgniserregend ist, dass hierfür kein Zugriff auf das Gerät des Opfers notwendig ist – weder Face ID noch Fingerabdruck.
Erweiterungen und XSS stellen das größte Risiko dar
Laut SlowMist liegen die Schwachstellen vor allem in schädlichen Browser-Erweiterungen und XSS-Angriffen (Cross-Site-Scripting). Ist eine Website anfällig für XSS oder hat ein Nutzer eine verdächtige Erweiterung installiert, können Angreifer die WebAuthn-API direkt manipulieren. Dadurch kann ein legitimer Schlüssel-Login in einen Passwort-Login umgewandelt werden – während das Opfer denkt, sicher zu sein, obwohl die Anmeldedaten abgefangen werden.
WebAuthn wurde entwickelt, um Passwörter durch Public-Key-Kryptografie zu ersetzen oder zu ergänzen. Doch dieser Angriff beweist, dass die Implementierung ebenso wichtig ist wie die Technik selbst. Websites mit schwacher Sicherheit oder Nutzer mit unsicheren Erweiterungen stellen ein reales Risiko dar – vergleichbar damit, wie Krypto-Betrugsmaschen häufig menschliche Fehler oder Systemlücken ausnutzen.
Nutzer, die derzeit auf Hardwareschlüssel oder biometrische Logins vertrauen, sollten besonders wachsam sein. Vermeiden Sie unbekannte Browser-Erweiterungen und seien Sie vorsichtig beim Einloggen auf weniger bekannten Websites. Für Entwickler ist es entscheidend, XSS-Lücken zu schließen und die API-Integration abzusichern.
20% Cashback mit der Bybit Card, bis zu 40 $ Bonus und 10% Rabatt auf Gebühren
Bybit EU hat seine Bybit Card in Europa eingeführt, mit der Sie in mehr als 90 Millionen Geschäften mit Krypto bezahlen können, inklusive 10% Cashback. Zur Feier des Launches gibt es eine spezielle Aktion:
- 20% Cashback auf alle Einkäufe bis zu 200 $ mit der Bybit Crypto Card (mehr Informationen und Bedingungen)
- 10% Rabatt auf die Handelsgebühren (30 Tage gültig, sichtbar während der Registrierung)
- Bis zu 40 $ Bonus nach einer Einzahlung von 400 $ (mehr Informationen und Bedingungen)
Alle oben genannten Boni sind diesen Monat gleichzeitig gültig.
Bybit verfügt über eine MiCAR-Lizenz und darf offiziell in Europa unter den neuen Regelungen operieren.
Um den 40-$-Bonus zu erhalten, ist eine Mindesteinzahlung von 400 $ erforderlich. Bei einer Einzahlung von mindestens 100 $ erhalten Sie 20 $ (etwa 18,50 €). Alle Nutzer erhalten den 10% Rabatt auf die Handelsgebühren (gültig für 30 Tage). Das 20% Cashback mit der Bybit Card muss vorher aktiviert werden.
Bybit hat weltweit mehr als 70 Millionen Nutzer und über 2 Millionen Bybit-Card-Nutzer. Registrieren Sie ein Konto über den untenstehenden Button und profitieren Sie vom Willkommensbonus. Die Bedingungen finden Sie auf der Aktionsseite.