Teknoloji dünyası, standart haline gelen FIDO (Fast Identity Online) çok faktörlü kimlik doğrulama (MFA) sistemlerine karşı yeni bir tehditle karşı karşıya. Güvenlik firması Expel tarafından ortaya çıkarılan ve PoisonSeed adı verilen bir saldırı grubunun kullandığı bu yöntem, FIDO anahtarlarını doğrudan atlatmaktan ziyade, süreci daha zayıf bir kimlik doğrulama biçimine düşürüyor. Bu durum, FIDO'nun kimlik bilgisi oltalama saldırılarına karşı dayanıklı olduğu yönündeki yaygın kabulüyle çelişmiyor, ancak süreci önemli ölçüde zayıflatıyor.
Saldırının temelinde, kullanıcıları Okta gibi yaygın bir kimlik doğrulama sağlayıcısının sahte giriş sayfasına yönlendiren bir e-posta yatıyor. Kullanıcılar kullanıcı adları ve şifreleriyle bu sahte sayfaya giriş yaptıklarında, saldırganlar bu bilgileri gerçek Okta giriş sayfasına anlık olarak giriyor. Bu aşamada, FIDO'nun kritik savunma mekanizmalarından biri olan çapraz cihaz oturum açma özelliği devreye giriyor.
Normalde, FIDO uyumlu sistemlerde, kullanıcılar giriş yapmakta oldukları cihazda FIDO anahtarı bulunmuyorsa, farklı bir cihazda (genellikle akıllı telefon) kayıtlı anahtarı kullanarak kimliklerini doğrulayabilirler. Bu durumda, giriş yapılan siteden bir QR kod görüntülenir ve kullanıcı telefonuyla bu kodu tarayarak süreci tamamlar. Ancak PoisonSeed, bu QR kod sürecine müdahale ederek, aslında kullanıcının FIDO anahtarını kullanmasını engelliyor ve bunun yerine daha az güvenli bir kimlik doğrulama yöntemine geçiş yapılmasını sağlıyor.
Güvenlik uzmanları, bu tür saldırıların aslında bir FIDO anahtar atlatma değil, bir 'FIDO zayıflatma' saldırısı olduğunu belirtiyor. Çünkü FIDO standardı, bu tür senaryoları önlemek üzere tasarlanmıştır. Eğer Okta'nın kimlik doğrulama süreci FIDO gerekliliklerine tam olarak uysaydı, saldırının başarısız olması gerekirdi. Bunun iki temel nedeni var: Birincisi, kimlik doğrulama için kullanılan cihazın, saldırganın cihazına Bluetooth üzerinden bağlanabilecek kadar yakın olması gerekliliği. İkincisi ise, kimlik doğrulama için kullanılacak anahtarın, sahte sitenin alan adıyla değil, gerçek Okta alan adıyla eşleşmesi gerekliliği.
Expel yetkilileri de bu durumu doğrulayarak, yaşananın bir FIDO anahtar atlatma saldırısı olmadığını, doğru bir şekilde ifade edildiği gibi bir zayıflatma saldırısı olduğunu kabul etti. Kuruluşların yöneticilerine, FIDO korumalı kimlik doğrulama süreçlerinin başka yöntemlere geri düşmesine izin verme konusunda dikkatli olmaları gerektiği tavsiye ediliyor. FIDO'nun geliştirilme aşamasında, parola ve diğer kimlik bilgileriyle aynı şekilde yönetilebilen veya dışa aktarılabilen bir yapıya henüz tam ulaşmadığı da vurgulanıyor. Kullanıcıların ise FIDO uyumlu kimlik doğrulama biçimlerini kullanmaya devam etmeleri, ancak bu tür zayıflatma saldırılarının karmaşıklığı nedeniyle dikkatli olmaları öneriliyor.
