TÍTULO: Pesquisa da SquareX sobre Vulnerabilidade em Passkeys Gera Controvérsia no Setor de Segurança Digital
SLUG: pesquisa-squarex-vulnerabilidade-passkeys-controversia-seguranca-digital
CONTEÚDO:
Uma pesquisa recente, divulgada pela startup SquareX, que atua no desenvolvimento de serviços de segurança para navegadores e outras aplicações do lado do cliente, tem gerado discussões significativas no cenário da segurança digital. O estudo, intitulado “Passkeys Pwned”, alega ter identificado uma “vulnerabilidade importante” nas passkeys, um método de autenticação que tem sido amplamente adotado por gigantes da tecnologia como Apple, Google e Microsoft, além de milhares de outras empresas.
A publicação da pesquisa, no entanto, foi acompanhada de questionamentos sobre sua fundamentação. Críticos apontam que as alegações da SquareX, que sugerem um comprometimento das promessas de segurança associadas às passkeys, carecem de base sólida. A controvérsia se intensifica ao considerar que a SquareX é uma empresa que oferece soluções de segurança, levantando a possibilidade de que a pesquisa possa estar alinhada a uma estratégia de marketing para promover seus serviços.
O Cenário das Passkeys e a Promessa de Segurança
As passkeys representam uma evolução no campo da autenticação digital, buscando substituir as senhas tradicionais por um método mais seguro e conveniente. Elas são projetadas para oferecer uma experiência de login sem senha, utilizando criptografia de chave pública para verificar a identidade do usuário. Ao invés de memorizar sequências complexas de caracteres, os usuários podem autenticar-se usando métodos biométricos, como impressão digital ou reconhecimento facial, ou um PIN do dispositivo.
Essa tecnologia é baseada em padrões abertos desenvolvidos pela FIDO Alliance e pelo World Wide Web Consortium (W3C), com o objetivo de mitigar riscos comuns associados às senhas, como ataques de phishing, roubo de credenciais e reutilização de senhas. A adoção das passkeys tem sido incentivada por grandes players da indústria de tecnologia, que veem nelas um caminho para fortalecer a segurança online e simplificar a experiência do usuário. A promessa é de um sistema de autenticação mais robusto, resistente a muitas das táticas de ataque que comprometem as senhas convencionais.
Empresas como Apple, Google e Microsoft têm sido entusiastas na implementação e promoção das passkeys em seus ecossistemas, integrando-as em seus sistemas operacionais e serviços. Essa ampla aceitação e o endosso de líderes do setor contribuíram para a percepção de que as passkeys representam um avanço significativo na segurança digital, com “promessas elevadas” de proteção contra ameaças cibernéticas.
Detalhes da Pesquisa “Passkeys Pwned” da SquareX
A pesquisa da SquareX, que descreve o ataque denominado “Passkeys Pwned”, foi apresentada publicamente em um evento de segurança de renome, a Defcon, no início deste mês. A demonstração visava ilustrar como as passkeys poderiam ser supostamente comprometidas, desafiando a percepção de sua invulnerabilidade.
De acordo com o estudo, o método de ataque depende fundamentalmente da instalação prévia de uma extensão maliciosa em um navegador web. Essa instalação, por sua vez, não ocorre de forma autônoma, mas é resultado de um ataque de engenharia social anterior. A engenharia social é uma tática que manipula indivíduos para que revelem informações confidenciais ou realizem ações que comprometam sua segurança, muitas vezes explorando a confiança ou a falta de atenção do usuário.
Uma vez que a extensão maliciosa está instalada no navegador do usuário, o ataque “Passkeys Pwned” procede ao sequestro do processo de criação de uma passkey. Isso significa que, quando um usuário tenta gerar uma nova passkey para acessar serviços online, como Gmail, Microsoft 365, ou qualquer um dos milhares de outros sites que já implementaram essa forma alternativa de autenticação, a extensão maliciosa interfere nesse processo. Ao invés de a passkey ser criada de forma segura e vinculada ao dispositivo legítimo do usuário, a extensão pode manipulá-la ou interceptá-la, comprometendo a integridade do sistema de autenticação.
A premissa central do ataque, portanto, não reside em uma falha intrínseca da arquitetura das passkeys em si, mas na exploração de um ambiente já comprometido. A presença de uma extensão de navegador maliciosa, instalada por meio de engenharia social, é um pré-requisito essencial para que o “Passkeys Pwned” possa ser executado. Este detalhe é crucial para entender a natureza da “vulnerabilidade” alegada pela SquareX.
A Crítica e o Contexto de “Sem Fundamento”
A principal crítica dirigida à pesquisa da SquareX é que suas conclusões são apresentadas “sem fundamento” no que diz respeito a uma “vulnerabilidade importante” nas passkeys. A argumentação central dos críticos é que o ataque “Passkeys Pwned” não explora uma falha inerente ao design ou à implementação das passkeys, mas sim uma fraqueza no ambiente operacional do usuário – especificamente, a presença de um software malicioso já instalado no navegador.
Quando um sistema de segurança é comprometido por um software malicioso que já tem controle sobre o dispositivo ou o navegador do usuário, a capacidade de qualquer método de autenticação, incluindo as passkeys, de resistir a esse comprometimento é naturalmente limitada. A instalação de uma extensão de navegador maliciosa por meio de engenharia social representa um vetor de ataque que precede e, em certa medida, anula as defesas de autenticação subsequentes.
A distinção é fundamental: uma vulnerabilidade nas passkeys implicaria uma falha no próprio protocolo ou em sua implementação que poderia ser explorada diretamente. Por outro lado, um ataque que depende de um ambiente já comprometido por malware ou engenharia social é uma exploração de uma falha no sistema operacional ou no comportamento do usuário, e não necessariamente uma falha do método de autenticação em si. Nesse contexto, a alegação de uma “vulnerabilidade importante” nas passkeys é vista como uma interpretação exagerada ou equivocada da situação.
A crítica sugere que a pesquisa da SquareX pode estar confundindo as vulnerabilidades do ambiente do usuário com as vulnerabilidades do próprio sistema de passkeys. Se um invasor já conseguiu instalar uma extensão maliciosa no navegador de um usuário, ele já possui um nível significativo de controle sobre a sessão de navegação, o que pode permitir a manipulação de diversos processos, incluindo a criação de passkeys, independentemente da robustez do método de autenticação.
Pesquisa de Segurança e Estratégias de Marketing
O contexto em que a pesquisa da SquareX foi publicada também levanta questões sobre a intersecção entre pesquisa de segurança e estratégias de marketing. A SquareX, sendo uma startup que comercializa serviços de segurança para aplicações do lado do cliente, tem um interesse comercial em destacar a necessidade de soluções de segurança robustas.
A apresentação de uma “vulnerabilidade importante” em uma tecnologia amplamente adotada como as passkeys pode, indiretamente, criar uma percepção de risco que impulsiona a demanda por serviços de segurança. Essa dinâmica não é incomum no setor de cibersegurança, onde a identificação e a divulgação de vulnerabilidades podem ser parte de uma estratégia mais ampla para educar o mercado e, ao mesmo tempo, posicionar a empresa como uma provedora de soluções essenciais.
No entanto, quando a pesquisa é descrita como “sem fundamento” ou como parte de um “discurso de marketing”, isso pode minar a credibilidade tanto da pesquisa quanto da empresa que a divulga. A comunidade de segurança digital valoriza a pesquisa rigorosa e imparcial, e alegações que são percebidas como exageradas ou com motivações comerciais podem ser recebidas com ceticismo.
A discussão em torno da pesquisa da SquareX serve como um lembrete da importância de avaliar criticamente todas as informações de segurança, especialmente aquelas que vêm de entidades com interesses comerciais. É fundamental distinguir entre vulnerabilidades genuínas que afetam a arquitetura de uma tecnologia e cenários de ataque que dependem de comprometimentos pré-existentes do ambiente do usuário.
A controvérsia em torno de “Passkeys Pwned” destaca a complexidade de comunicar riscos de segurança de forma precisa e responsável, especialmente quando novas tecnologias como as passkeys estão em fase de ampla adoção e escrutínio. A precisão na descrição das vulnerabilidades é crucial para garantir que os usuários e as empresas possam tomar decisões informadas sobre suas estratégias de segurança digital.
A comunidade de segurança continua a monitorar e testar as passkeys, buscando garantir que sua implementação atenda aos mais altos padrões de proteção. A discussão gerada pela pesquisa da SquareX, embora controversa, contribui para o diálogo contínuo sobre a resiliência e a segurança das novas formas de autenticação no ambiente digital.
Com informações de Ars Technica
Para seguir a cobertura, veja também unpacking.