Исследователи описали новую фишинговую технику VaultJacking, которая бьёт не по паролям и даже не по самим ключам доступа (passkey), а по куда более удобной цели — синхронизации Google Password Manager. Атакующему достаточно выманить у пользователя шестизначный ПИН от менеджера паролей Google, чтобы получить доступ ко всему хранилищу учётных данных.
© Global Look Press
Схема строится на классической атаке «Злоумышленник посередине» (AiTM). Жертву заводят на поддельную, но убедительную страницу входа Google, где у неё перехватывают логин, пароль, сессионные cookies и тот самый ПИН от Google Password Manager.
После получения ПИН злоумышленники могут добавить своё устройство в доверенную группу устройств, которым разрешён доступ к синхронизированным учётным данным. Затем они получают Security Domain Secret (SDS), который позволяет расшифровать содержимое хранилища уже на атакующей системе.
Главная подлость VaultJacking в том, что атака обходит привычную логику защиты passkey. На уровне отдельных сайтов passkey действительно остаются устойчивыми к фишингу благодаря привязке WebAuthn к домену. Но здесь атакующие не пытаются войти на конкретный сайт. Они вытаскивают ключи ниже уровнем — из инфраструктуры синхронизации.
По данным исследователей Phishu, техника работает даже против аккаунтов, где используются passkey, включая аппаратно защищённые реализации. После перехвата ПИН атакующие могут зарегистрировать собственный passkey в аккаунте жертвы, закрепиться в нём и затем синхронизировать пароли, метаданные и другие сохранённые учётные данные в свою среду.
Результат — не точечный угон одного аккаунта, а потенциальный доступ сразу ко всему: почте, банкингу, корпоративным сервисам, криптовалютным платформам и другим ресурсам, данные от которых лежали в Google Password Manager.
Особенно неприятно, что пользователь может почти ничего не заметить. Максимум — стандартные письма о новом входе или добавлении нового passkey. Пуш-уведомлений или обязательного подтверждения с уже доверенного устройства, по словам исследователей, в этой цепочке нет. А если атакующие успели залезть ещё и в почтовый ящик, такие уведомления можно просто прибрать с глаз долой.
Проблема здесь не в криптографии passkey как таковой. Она в том, как защищён доступ к синхронизированному хранилищу. Google делает ставку на удобство и восстановление доступа через короткий ПИН, но именно это превращает ПИН в лакомую цель для фишинга.
Для сравнения: в экосистеме Apple iCloud Keychain подключение нового устройства требует явного подтверждения с уже доверенного устройства. Такой подход менее удобен, зато сильно усложняет сценарии, где злоумышленник пытается тихо подсосаться к хранилищу с нового окружения.
Исследователи описали новую фишинговую технику VaultJacking, которая бьёт не по паролям и даже не по самим ключам доступа (passkey), а по куда более удобной цели — синхронизации Google Password Manager. Атакующему достаточно выманить у пользователя шестизначный ПИН от менеджера паролей Google, чтобы получить доступ ко всему хранилищу учётных данных. © Global Look Press Схема строится на классической атаке «Злоумышленник посередине» (AiTM). Жертву заводят на поддельную, но убедительную страницу входа Google, где у неё перехватывают логин, пароль, сессионные cookies и тот самый ПИН от Google Password Manager. После получения ПИН злоумышленники могут добавить своё устройство в доверенную группу устройств, которым разрешён доступ к синхронизированным учётным данным. Затем они получают Security Domain Secret (SDS), который позволяет расшифровать содержимое хранилища уже на атакующей системе. Главная подлость VaultJacking в том, что атака обходит привычную логику защиты passkey. На уровне отдельных сайтов passkey действительно остаются устойчивыми к фишингу благодаря привязке WebAuthn к домену. Но здесь атакующие не пытаются войти на конкретный сайт. Они вытаскивают ключи ниже уровнем — из инфраструктуры синхронизации. По данным исследователей Phishu, техника работает даже против аккаунтов, где используются passkey, включая аппаратно защищённые реализации. После перехвата ПИН атакующие могут зарегистрировать собственный passkey в аккаунте жертвы, закрепиться в нём и затем синхронизировать пароли, метаданные и другие сохранённые учётные данные в свою среду. Результат — не точечный угон одного аккаунта, а потенциальный доступ сразу ко всему: почте, банкингу, корпоративным сервисам, криптовалютным платформам и другим ресурсам, данные от которых лежали в Google Password Manager. Особенно неприятно, что пользователь может почти ничего не заметить. Максимум — стандартные письма о новом входе или добавлении нового passkey. Пуш-уведомлений или обязательного подтверждения с уже доверенного устройства, по словам исследователей, в этой цепочке нет. А если атакующие успели залезть ещё и в почтовый ящик, такие уведомления можно просто прибрать с глаз долой. Проблема здесь не в криптографии passkey как таковой. Она в том, как защищён доступ к синхронизированному хранилищу. Google делает ставку на удобство и восстановление доступа через короткий ПИН, но именно это превращает ПИН в лакомую цель для фишинга. Для сравнения: в экосистеме Apple iCloud Keychain подключение нового устройства требует явного подтверждения с уже доверенного устройства. Такой подход менее удобен, зато сильно усложняет сценарии, где злоумышленник пытается тихо подсосаться к хранилищу с нового окружения.
