論文の概要: Stealing Trust: Unveiling Vulnerabilities in Web3 Authentication

• arxiv url: http://arxiv.org/abs/2406.00523v2
• Date: Fri, 7 Jun 2024 03:54:45 GMT
• ステータス: 処理完了
• システム内更新日: 2024-06-10 12:53:12.920316
• Title: Stealing Trust: Unveiling Vulnerabilities in Web3 Authentication
• Title（参考訳）: ステアリングトラスト - Web3認証における脆弱性の発見
• Authors: Kailun Yan, Xiaokuan Zhang, Wenrui Diao,
• Abstract要約: 本稿では,Web3認証プロセスの脆弱性を調査し,新たな攻撃方法を提案する。 攻撃では、攻撃者はユーザーがメッセージのソースを検証できないことを悪用して、ターゲットアプリケーションから盲目的にメッセージに署名するようユーザを騙す。 我々は,Web3認証関連APIと対話して脆弱性を特定する動的検出ツールであるWeb3AuthCheckerを開発した。
• 参考スコア（独自算出の注目度）: 6.338839764436795
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: As the field of Web3 continues its rapid expansion, the security of Web3 authentication, often the gateway to various Web3 applications, becomes increasingly crucial. Despite its widespread use as a login method by numerous Web3 applications, the security risks of Web3 authentication have not received much attention. This paper investigates the vulnerabilities in the Web3 authentication process and proposes a new type of attack. In attacks, attackers trick users into blindly signing messages from target applications by exploiting users' inability to verify the source of messages, thereby achieving unauthorized access to the target application. We have developed Web3AuthChecker, a dynamic detection tool that interacts with Web3 authentication-related APIs to identify vulnerabilities. Our evaluation of real-world Web3 applications shows that a staggering 75.8\% (22/29) of Web3 authentication deployments are at risk of attacks. In response to this alarming situation, we implemented Web3AuthGuard on the open-source wallet MetaMask to alert users of potential attacks. Our evaluation results show that Web3AuthGuard can successfully raise alerts in 80\% of the tested Web3 authentications. We have responsibly reported our findings to vulnerable websites and have been assigned two CVE IDs.
• Abstract（参考訳）: Web3の分野が急速に拡大していくにつれ、様々なWeb3アプリケーションへのゲートウェイであるWeb3認証のセキュリティがますます重要になっている。 多くのWeb3アプリケーションでログイン方法として広く使われているが、Web3認証のセキュリティリスクはあまり注目されていない。 本稿では,Web3認証プロセスの脆弱性を調査し,新たな攻撃方法を提案する。 攻撃では、攻撃者は、ユーザーがメッセージのソースを検証できないことを悪用し、ターゲットアプリケーションへの不正アクセスを達成することによって、ターゲットアプリケーションから盲目的にメッセージに署名するようユーザを騙す。 我々は,Web3認証関連APIと対話して脆弱性を特定する動的検出ツールであるWeb3AuthCheckerを開発した。 実世界のWeb3アプリケーションに対する評価は、Web3認証デプロイメントの75.8\%(22/29)が攻撃の危険にさらされていることを示している。 この警告に応えて、私たちはオープンソースのウォレットMetaMaskにWeb3AuthGuardを実装し、攻撃の可能性をユーザに警告しました。 評価の結果、Web3AuthGuardは、テスト済みのWeb3認証の80%で警告を発生させることができた。 我々は、我々の発見を脆弱なウェブサイトに責任を持って報告し、2つのCVE IDを割り当てた。

関連論文リスト

• The Emperor is Now Clothed: A Secure Governance Framework for Web User Authentication through Password Managers [0.9599644507730105]
  パスワードマネージャとWebアプリケーション間のインタラクションを促進する既存のアプローチは、適切な機能を提供し、重要な攻撃に対する緩和戦略を提供していない。 本稿では,パスワードマネージャとWebアプリケーション間のインタラクションを仲介するブラウザベースのガバナンスフレームワークであるBerytusを提案する。
  論文  参考訳（メタデータ） (2024-07-09T19:49:49Z)
• Rethinking the Vulnerabilities of Face Recognition Systems:From a Practical Perspective [53.24281798458074]
  顔認識システム(FRS)は、監視やユーザー認証を含む重要なアプリケーションにますます統合されている。 最近の研究によると、FRSの脆弱性は敵(例えば、敵パッチ攻撃)やバックドア攻撃(例えば、データ中毒の訓練)であることが明らかになっている。
  論文  参考訳（メタデータ） (2024-05-21T13:34:23Z)
• A Novel Protocol Using Captive Portals for FIDO2 Network Authentication [45.84205238554709]
  FIDO2CAP: FIDO2 Captive-portal Authentication Protocolを紹介する。 本研究では,FIDO2CAP認証のプロトタイプをモックシナリオで開発する。 この研究は、FIDO2認証に依存する新しい認証パラダイムにネットワーク認証を適用するための最初の体系的なアプローチである。
  論文  参考訳（メタデータ） (2024-02-20T09:55:20Z)
• Poisoning Federated Recommender Systems with Fake Users [48.70867241987739]
  フェデレーテッド・レコメンデーションは、フェデレーテッド・ラーニングにおける顕著なユースケースである。 本稿では,攻撃対象のアイテムを宣伝するために,PisonFRSという偽ユーザによる新たな毒殺攻撃を導入する。 複数の実世界のデータセットに対する実験では、PoisonFRSが攻撃者-チョセンアイテムを真のユーザの大部分に効果的にプロモートできることが示されている。
  論文  参考訳（メタデータ） (2024-02-18T16:34:12Z)
• Reducing Usefulness of Stolen Credentials in SSO Contexts [0.0]
  マルチファクタ認証(MFA)は、有効な認証情報を使用する攻撃を阻止するのに役立つが、攻撃者は依然として、ユーザをMFAのステップアップ要求を受け入れるように騙してシステムを侵害する。 本稿では,モバイル機器管理よりもユーザデバイスへの侵入性が低いトークンベースの登録アーキテクチャを提案する。
  論文  参考訳（メタデータ） (2024-01-21T21:05:32Z)
• Architecture of Smart Certificates for Web3 Applications Against Cyberthreats in Financial Industry [2.795656498870966]
  この研究は、現在のインターネットに関連するセキュリティ上の課題に対処し、特にブロックチェーンや分散ストレージといった新興技術に焦点を当てている。 また、インターネットの未来を形成する上でのWeb3アプリケーションの役割についても検討している。
  論文  参考訳（メタデータ） (2023-11-03T14:51:24Z)
• Exposing and Addressing Security Vulnerabilities in Browser Text Input Fields [22.717150034358948]
  ウェブブラウザにおけるテキスト入力フィールドのセキュリティに関する総合的な分析を行う。 ブラウザの粗粒度パーミッションモデルが2つのセキュリティ設計原則に違反していることが分かりました。 入力フィールドに2つの脆弱性を発見した。
  論文  参考訳（メタデータ） (2023-08-30T21:02:48Z)
• When Authentication Is Not Enough: On the Security of Behavioral-Based Driver Authentication Systems [53.2306792009435]
  我々はランダムフォレストとリカレントニューラルネットワークアーキテクチャに基づく2つの軽量ドライバ認証システムを開発した。 我々は,SMARTCANとGANCANという2つの新しいエスケープアタックを開発することで,これらのシステムに対する攻撃を最初に提案する。 コントリビューションを通じて、これらのシステムを安全に採用する実践者を支援し、車の盗難を軽減し、ドライバーのセキュリティを高める。
  論文  参考訳（メタデータ） (2023-06-09T14:33:26Z)
• Not what you've signed up for: Compromising Real-World LLM-Integrated Applications with Indirect Prompt Injection [64.67495502772866]
  大規模言語モデル(LLM)は、様々なアプリケーションに統合されつつある。 本稿では、プロンプトインジェクション攻撃を用いて、攻撃者が元の命令をオーバーライドし、制御を採用する方法を示す。 我々は、コンピュータセキュリティの観点から、影響や脆弱性を体系的に調査する包括的な分類法を導出する。
  論文  参考訳（メタデータ） (2023-02-23T17:14:38Z)
• Backdoor Attack against Speaker Verification [86.43395230456339]
  学習データを汚染することにより,話者検証モデルに隠れたバックドアを注入できることを示す。 また,既存のバックドア攻撃が話者認証攻撃に直接適用できないことも実証した。
  論文  参考訳（メタデータ） (2020-10-22T11:10:08Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。