Passkey не спасли: фишеры нашли способ вытащить весь парольный сейф Google

Екатерина Быстрова 28 Мая 2026 - 16:16

Домашние пользователи

Корпорации

Google

Системы аутентификации

Passkey (ключ доступа)

Парольная защита (пароли)

Фишинг

...

Passkey не спасли: фишеры нашли способ вытащить весь парольный сейф Google

Исследователи описали новую фишинговую технику VaultJacking, которая бьёт не по паролям и даже не по самим ключам доступа (passkey), а по куда более удобной цели — синхронизации Google Password Manager. Атакующему достаточно выманить у пользователя шестизначный ПИН от менеджера паролей Google, чтобы получить доступ ко всему хранилищу учётных данных.

Схема строится на классической атаке «Злоумышленник посередине» (AiTM). Жертву заводят на поддельную, но убедительную страницу входа Google, где у неё перехватывают логин, пароль, сессионные cookies и тот самый ПИН от Google Password Manager.

После получения ПИН злоумышленники могут добавить своё устройство в доверенную группу устройств, которым разрешён доступ к синхронизированным учётным данным. Затем они получают Security Domain Secret (SDS), который позволяет расшифровать содержимое хранилища уже на атакующей системе.

Главная подлость VaultJacking в том, что атака обходит привычную логику защиты passkey. На уровне отдельных сайтов passkey действительно остаются устойчивыми к фишингу благодаря привязке WebAuthn к домену. Но здесь атакующие не пытаются войти на конкретный сайт. Они вытаскивают ключи ниже уровнем — из инфраструктуры синхронизации.

По данным исследователей Phishu, техника работает даже против аккаунтов, где используются passkey, включая аппаратно защищённые реализации. После перехвата ПИН атакующие могут зарегистрировать собственный passkey в аккаунте жертвы, закрепиться в нём и затем синхронизировать пароли, метаданные и другие сохранённые учётные данные в свою среду.

Результат — не точечный угон одного аккаунта, а потенциальный доступ сразу ко всему: почте, банкингу, корпоративным сервисам, криптовалютным платформам и другим ресурсам, данные от которых лежали в Google Password Manager.

Особенно неприятно, что пользователь может почти ничего не заметить. Максимум — стандартные письма о новом входе или добавлении нового passkey. Пуш-уведомлений или обязательного подтверждения с уже доверенного устройства, по словам исследователей, в этой цепочке нет. А если атакующие успели залезть ещё и в почтовый ящик, такие уведомления можно просто прибрать с глаз долой.

Проблема здесь не в криптографии passkey как таковой. Она в том, как защищён доступ к синхронизированному хранилищу. Google делает ставку на удобство и восстановление доступа через короткий ПИН, но именно это превращает ПИН в лакомую цель для фишинга.

Для сравнения: в экосистеме Apple iCloud Keychain подключение нового устройства требует явного подтверждения с уже доверенного устройства. Такой подход менее удобен, зато сильно усложняет сценарии, где злоумышленник пытается тихо подсосаться к хранилищу с нового окружения.

Следующая главная новость »

Ошибка в настройках стоит дорого: как управлять конфигурациями?
Регистрируйтесь на эфир!

Екатерина Быстрова 17 Июня 2026 - 10:14

Домашние пользователи Безопасные браузеры Mozilla

Firefox 152 научился быстро отключать шумные вкладки через адресную строку

Mozilla выпустила Firefox 152, и в этот раз обновление оказалось заметно интереснее стандартного набора фиксов. Разработчики серьёзно переработали настройки браузера, добавили новые инструменты для приватности и упростили жизнь тем, кто регулярно открывает по несколько десятков вкладок одновременно.

Главное изменение — полностью обновлённый раздел настроек. В Mozilla обещают более понятную структуру, упрощённую навигацию и логичное распределение параметров по категориям. Идея простая: меньше блужданий по меню и быстрее доступ к нужным функциям.

Не забыли и про приватность. Теперь Firefox умеет автоматически предлагать временно ослабить защиту от трекеров для конкретного сайта, если из-за строгих настроек страница работает некорректно. Вместо поиска нужного переключателя в меню браузер сам покажет предложение перезагрузить сайт с более мягкими ограничениями.

Ещё одна любопытная функция пригодится тем, кто регулярно теряет источник неожиданного звука среди десятков вкладок. В адресной строке теперь можно ввести команды mute, shush или sssh, после чего Firefox мгновенно отключит звук во всех вкладках сразу.

Пользователи Windows и Linux получили возможность копировать ссылку на вкладку прямо из контекстного меню, не открывая страницу. Кроме того, в браузере появилась новая кнопка Send Tab, которую можно добавить на панель инструментов.

Расширились и возможности встроенного переводчика Firefox Translations. Браузер получил поддержку баскского и галисийского языков, а также новые словари проверки орфографии для турецкого, персидского, валлийского, хорватского, тамильского и грузинского языков.

Для любителей экспериментов Mozilla добавила в Firefox Labs поддержку JPEG XL — современного графического формата, который должен обеспечивать более эффективное сжатие изображений по сравнению с JPEG, PNG, GIF и даже WebP.

В список прочих изменений вошли улучшенная работа с PDF-файлами, более гибкое масштабирование страниц, доработки поддержки ключей доступа (passkey) через WebAuthn и новые возможности для веб-уведомлений.

Заодно Mozilla впервые опубликовала публичную дорожную карту Firefox, чтобы пользователи могли заранее видеть, какие функции готовятся к выходу в следующих версиях браузера.

Ошибка в настройках стоит дорого: как управлять конфигурациями?
Регистрируйтесь на эфир!