Passkey не спасли: фишеры нашли способ вытащить весь парольный сейф Google

Passkey не спасли: фишеры нашли способ вытащить весь парольный сейф Google

Passkey не спасли: фишеры нашли способ вытащить весь парольный сейф Google

Исследователи описали новую фишинговую технику VaultJacking, которая бьёт не по паролям и даже не по самим ключам доступа (passkey), а по куда более удобной цели — синхронизации Google Password Manager. Атакующему достаточно выманить у пользователя шестизначный ПИН от менеджера паролей Google, чтобы получить доступ ко всему хранилищу учётных данных.

Схема строится на классической атаке «Злоумышленник посередине» (AiTM). Жертву заводят на поддельную, но убедительную страницу входа Google, где у неё перехватывают логин, пароль, сессионные cookies и тот самый ПИН от Google Password Manager.

После получения ПИН злоумышленники могут добавить своё устройство в доверенную группу устройств, которым разрешён доступ к синхронизированным учётным данным. Затем они получают Security Domain Secret (SDS), который позволяет расшифровать содержимое хранилища уже на атакующей системе.

 

Главная подлость VaultJacking в том, что атака обходит привычную логику защиты passkey. На уровне отдельных сайтов passkey действительно остаются устойчивыми к фишингу благодаря привязке WebAuthn к домену. Но здесь атакующие не пытаются войти на конкретный сайт. Они вытаскивают ключи ниже уровнем — из инфраструктуры синхронизации.

По данным исследователей Phishu, техника работает даже против аккаунтов, где используются passkey, включая аппаратно защищённые реализации. После перехвата ПИН атакующие могут зарегистрировать собственный passkey в аккаунте жертвы, закрепиться в нём и затем синхронизировать пароли, метаданные и другие сохранённые учётные данные в свою среду.

 

Результат — не точечный угон одного аккаунта, а потенциальный доступ сразу ко всему: почте, банкингу, корпоративным сервисам, криптовалютным платформам и другим ресурсам, данные от которых лежали в Google Password Manager.

Особенно неприятно, что пользователь может почти ничего не заметить. Максимум — стандартные письма о новом входе или добавлении нового passkey. Пуш-уведомлений или обязательного подтверждения с уже доверенного устройства, по словам исследователей, в этой цепочке нет. А если атакующие успели залезть ещё и в почтовый ящик, такие уведомления можно просто прибрать с глаз долой.

Проблема здесь не в криптографии passkey как таковой. Она в том, как защищён доступ к синхронизированному хранилищу. Google делает ставку на удобство и восстановление доступа через короткий ПИН, но именно это превращает ПИН в лакомую цель для фишинга.

 

Для сравнения: в экосистеме Apple iCloud Keychain подключение нового устройства требует явного подтверждения с уже доверенного устройства. Такой подход менее удобен, зато сильно усложняет сценарии, где злоумышленник пытается тихо подсосаться к хранилищу с нового окружения.

Microsoft чинит кошмар переустановки Windows — пропавшие драйверы

Переустановка Windows наконец может стать чуть меньше похожей на танцы с бубном. Microsoft представила функцию Cloud rebuild, которая должна переустанавливать не только саму Windows, но и драйверы устройства через Windows Update.

Идея такая: пользователь сбрасывает компьютер, а система подтягивает целевой образ Windows и нужные драйверы из облака.

Сейчас свежая установка Windows часто превращается в отдельный вид страдания. Нужно понять, каких драйверов не хватает, где их скачать, что поставить первым, а что лучше вообще не трогать. Особенно весело становится, если в игру вступают видеодрайверы NVIDIA, которые умеют подарить пользователю вечер неожиданных приключений.

Cloud rebuild пока доступна участникам программы Windows Insider, начиная с Experimental Preview Build 26300.8772. В Microsoft планируют постепенно вывести функцию на более широкую аудиторию в ближайшие месяцы, если планы не изменятся.

 

Запустить новый режим можно из среды восстановления Windows. Для этого нужно открыть WinRE, выбрать Troubleshoot → Recovery and uninstall → Cloud rebuild, подключиться к интернету по Ethernet или Wi-Fi, проверить версию, редакцию и язык Windows, а затем подтвердить предупреждение о потере данных.

Полностью все проблемы функция, конечно, не решает. Для Cloud rebuild всё равно нужен интернет, но если подключение есть, пользователю больше не придётся вручную охотиться за каждым драйвером и надеяться, что после установки система не устроит сюрприз.

Участники Windows Insider уже могут попробовать Cloud rebuild и отправить отзывы через Feedback Hub. Если всё сработает как задумано, переустановка Windows станет наконец не наказанием, а просто технической процедурой.

RSS: Новости на портале Anti-Malware.ru