¿Tu Passkey sin PIN? Así es como te hackean con Web Bluetooth en 2025 ⚠️ (CVE-2025-41730) #CVE2025
🚨 Passkey Downgrade Relay 2025 (CVE‑2025‑41730) — El nuevo vector que compromete tus claves FIDO2/WebAuthn… sin tocar tu llave.
🧠 Por qué es relevante:
Passkeys se basan en CTAP2 + User Verification (UV). Tu sistema exige huella/PIN y genera una firma segura (uv=1).
💥 Pero… ¿y si un sitio aún permite retroceso a U2F (uv=0)?
Un atacante puede forzar ese downgrade provocando un timeout → navegador muestra "Try another method".
Y ahí entra Web Bluetooth: su script abre un canal CTAP2 → U2F (💻⟷🔑 vía Raspberry Pi).
🎯 El resultado: El sitio acepta una firma sin verificación de usuario 😱
¡Acceso total sin tocar tu llave!
🔬 PoC paso a paso:
1️⃣ Víctima entra a login.company.com con Passkey.
2️⃣ JS malicioso en iframe lento bloquea handshake UV.
3️⃣ Navegador ofrece fallback U2F.
4️⃣ Raspberry Pi + FIDO-key contestan vía Bluetooth relay.
5️⃣ Credencial con counter=0 pasa. RP lo acepta.
6️⃣ Token de sesión es capturado. MFA comprometido.
🛡️ Mitigación para 2025+:
Capa Acción
RP/Web requireUserVerification=true, desactiva fallback U2F.
Navegador Chrome 124+: alerta si UV=1 retrocede a UV=0.
FIDO Key Firmware 5.8 bloquea U2F si ya hay credencial CTAP2 para ese RP ID.
Usuario Activa Session Binding (macOS 15 / Android 15), revoca claves con counter=0.
🔐 Autenticación sin contraseña solo es segura si no la fuerzan a retroceder.
🎓 Aprende. Protege. Evoluciona.
🚀 Únete a nuestra comunidad en Telegram: CiberAlertaPRO
📲 Síguenos en X/Twitter: @CiberAlertaPRO
Dale like 👍 comenta 💬 comparte 🔁 y suscríbete 🔔 para más ciberseguridad avanzada, pruebas de concepto reales y defensa digital eficaz
#Passkey #FIDO2 #CVE2025 #WebAuthn #BluetoothHack #Cybersecurity #DowngradeAttack #U2F #HackingDemo #CTAP2 #Ciberseguridad #Chrome124 #CiberAlertaPRO #IngenieríaWeb #YubiKey #SecurityBreach #Exploit #Infosec #NoLoVasACreer #ÚltimaHora #NoEsUnSimulacro #TeLoEstánOcultando #EstoEstáPasandoAhora #NadieTeLoCuenta #SoloParaExpertos #TuClaveEstáEnPeligro #PánicoDigital #AmenazaInvisible #NoTeConfíes #EstoNoEsUnaBroma #YaEsTarde #EstásEnRiesgo #FugaSilenciosa #NoHayVueltaAtrás
Видео ¿Tu Passkey sin PIN? Así es como te hackean con Web Bluetooth en 2025 ⚠️ (CVE-2025-41730) #CVE2025 канала CiberAlertaPro 🔐
🧠 Por qué es relevante:
Passkeys se basan en CTAP2 + User Verification (UV). Tu sistema exige huella/PIN y genera una firma segura (uv=1).
💥 Pero… ¿y si un sitio aún permite retroceso a U2F (uv=0)?
Un atacante puede forzar ese downgrade provocando un timeout → navegador muestra "Try another method".
Y ahí entra Web Bluetooth: su script abre un canal CTAP2 → U2F (💻⟷🔑 vía Raspberry Pi).
🎯 El resultado: El sitio acepta una firma sin verificación de usuario 😱
¡Acceso total sin tocar tu llave!
🔬 PoC paso a paso:
1️⃣ Víctima entra a login.company.com con Passkey.
2️⃣ JS malicioso en iframe lento bloquea handshake UV.
3️⃣ Navegador ofrece fallback U2F.
4️⃣ Raspberry Pi + FIDO-key contestan vía Bluetooth relay.
5️⃣ Credencial con counter=0 pasa. RP lo acepta.
6️⃣ Token de sesión es capturado. MFA comprometido.
🛡️ Mitigación para 2025+:
Capa Acción
RP/Web requireUserVerification=true, desactiva fallback U2F.
Navegador Chrome 124+: alerta si UV=1 retrocede a UV=0.
FIDO Key Firmware 5.8 bloquea U2F si ya hay credencial CTAP2 para ese RP ID.
Usuario Activa Session Binding (macOS 15 / Android 15), revoca claves con counter=0.
🔐 Autenticación sin contraseña solo es segura si no la fuerzan a retroceder.
🎓 Aprende. Protege. Evoluciona.
🚀 Únete a nuestra comunidad en Telegram: CiberAlertaPRO
📲 Síguenos en X/Twitter: @CiberAlertaPRO
Dale like 👍 comenta 💬 comparte 🔁 y suscríbete 🔔 para más ciberseguridad avanzada, pruebas de concepto reales y defensa digital eficaz
#Passkey #FIDO2 #CVE2025 #WebAuthn #BluetoothHack #Cybersecurity #DowngradeAttack #U2F #HackingDemo #CTAP2 #Ciberseguridad #Chrome124 #CiberAlertaPRO #IngenieríaWeb #YubiKey #SecurityBreach #Exploit #Infosec #NoLoVasACreer #ÚltimaHora #NoEsUnSimulacro #TeLoEstánOcultando #EstoEstáPasandoAhora #NadieTeLoCuenta #SoloParaExpertos #TuClaveEstáEnPeligro #PánicoDigital #AmenazaInvisible #NoTeConfíes #EstoNoEsUnaBroma #YaEsTarde #EstásEnRiesgo #FugaSilenciosa #NoHayVueltaAtrás
Видео ¿Tu Passkey sin PIN? Así es como te hackean con Web Bluetooth en 2025 ⚠️ (CVE-2025-41730) #CVE2025 канала CiberAlertaPro 🔐
Passkey FIDO2 CVE2025 WebAuthn BluetoothHack Cybersecurity DowngradeAttack U2F HackingDemo CTAP2 Ciberseguridad Chrome124 CiberAlertaPRO IngenieríaWeb YubiKey SecurityBreach Exploit Infosec NoLoVasACreer ÚltimaHora NoEsUnSimulacro TeLoEstánOcultando EstoEstáPasandoAhora NadieTeLoCuenta SoloParaExpertos TuClaveEstáEnPeligro PánicoDigital AmenazaInvisible NoTeConfíes EstoNoEsUnaBroma YaEsTarde EstásEnRiesgo FugaSilenciosa NoHayVueltaAtrás
Комментарии отсутствуют
Информация о видео
6 мая 2025 г. 5:54:28
00:00:48
Другие видео канала
