原文
| |||||||||||||||||||||||||
| |||||||||||||||||||||||||
 | |||||||||||||||||||||||||
(评论)
(comments)
原始链接: https://news.ycombinator.com/item?id=43408674
Hacker News 上的一篇讨论帖围绕 CVE-2024-9956 展开,这是一个可能允许通过在移动浏览器上进行 PassKey 钓鱼来接管账户的漏洞。 一位用户澄清说,攻击本身并没有窃取 PassKey 密码,而是窃取了一个会话。关于 BLE PassKeys 和与攻击者控制的设备配对的问题也随之出现。 至关重要的是,一条评论强调该漏洞是在去年报告的,补丁正在陆续推出。Chrome 最快修复了它(2024 年 10 月),而 Safari 和 Firefox 预计分别在 2025 年 1 月和 3 月修复。不同的响应时间引发了猜测。 最后,一位用户质疑被钓鱼的 WebAuthn 登录的影响,因为攻击者不会获得私钥。关注点在于用户可能在虚假网站上共享其他敏感数据,例如加密货币钱包密钥。
相关文章
reply