详细内容或原文请订阅后点击阅览
隐藏的危险:如何在虐待关系中利用Passkeys
Passkeys被推广为在线安全的未来。与密码不同,它们承诺对黑客入侵和网络钓鱼的保护更加强大,同时使日常用户更简单。但是一项新的研究警告说,这些工具也可能会造成隐藏的风险,尤其是在虐待关系中。这项研究于8月15日在2025年的USENIX安全研讨会上发表[…]隐藏危险:如何在滥用关系中利用Passkeys首次出现在Knowridge Science报告中。
来源:Knowridge科学报告Passkeys被推广为在线安全的未来。
与密码不同,他们承诺更强大的保护防止黑客入侵和网络钓鱼,同时为日常用户更简单。
,但一项新的研究警告说,这些工具也可能会造成隐藏的风险,尤其是在虐待关系中。
这项研究于8月15日在西雅图举行的2025年USENIX安全研讨会上介绍,来自纽约大学康奈尔理工大学和威斯康星大学的一支团队。
研究博士领导。候选人Alaa Daffalla和Arkaprabha Bhattacharya以及教授Thomas Ristenpart和Nicola Dell教授,这项研究是第一个研究如何在诸如亲密伴侣暴力,虐待老年人和人口贩运等环境中使用Passkey的武器的研究。
“由于科技公司推出了新的身份验证机制,因此至关重要的是考虑如何利用它们以实现人际虐待。”戴尔说。
为了发现这些风险,团队创建了一个六步的“滥用性分析”框架 - 这种方法可帮助研究人员确定如何仍然滥用为安全和便利性设计的功能。
他们将框架应用于已经支持Passkeys的19个流行服务,包括Google,Amazon,PayPal和Tiktok。
结果令人不安。研究人员确定了虐待者可以利用Passkeys的七种不同方式。
有些很简单,例如悄悄地将其指纹添加到受害者的设备中。其他人则更为先进,例如使用Airdrop或云同步将Passkey导出到另一个设备。
在一种情况下,短暂访问未锁定电话的虐待者可以偷走通道,并随着时间的推移秘密监视受害者的帐户。在另一种情况下,攻击者可以远程撤销受害者的Passkeys,将他们锁定在自己的帐户中。
全面,许多服务在发生这些更改时未能提供警报。受害者通常无法检测到可疑活动或重新获得访问权限后。