SlowMist TI 警报 新攻击手法绕过 WebAuthn 基于密钥的登录方式。⚠️此攻击允许攻击者通过恶意浏览器扩展或利用网站上的 XSS 漏洞劫持 WebAuthn API。因此，攻击者可以强制降级为密码登录，或操控密钥注册流程以窃取用户凭据。 此漏洞不需要访问受害者的设备或 Face ID。在受感染网站上使用密钥登录的用户，或安装了恶意扩展的用户，可能面临身份冒充风险，从而导致账户被攻破。 WebAuthn 是由 W3C 和 FIDO 联盟开发的网络标准，旨在通过公钥加密提供安全认证，作为传统密码的替代或补充。用户可以使用硬件安全密钥（如 YubiKey）、内置平台认证器（如 Windows Hello、Touch ID、Android 生物识别）或符合 FIDO2 标准的设备进行登录。