論文の概要: Stealing Trust: Unraveling Blind Message Attacks in Web3 Authentication

• arxiv url: http://arxiv.org/abs/2406.00523v4
• Date: Mon, 30 Sep 2024 19:03:11 GMT
• ステータス: 翻訳完了
• システム内更新日: 2024-10-02 16:31:21.501473
• Title: Stealing Trust: Unraveling Blind Message Attacks in Web3 Authentication
• Title（参考訳）: Stealing Trust: Web3認証におけるBlindメッセージアタックの発見
• Authors: Kailun Yan, Xiaokuan Zhang, Wenrui Diao,
• Abstract要約: 本稿では,Web3認証プロセスの脆弱性を調査し,ブラインドメッセージ攻撃と呼ばれる新たなタイプの攻撃を提案する。 盲目的のメッセージ攻撃では、攻撃者はユーザーがメッセージのソースを検証できないことを利用して、ターゲットアプリケーションから盲目的にメッセージに署名するようユーザを騙します。 我々は,Web3認証関連APIと対話して脆弱性を特定する動的検出ツールであるWeb3AuthCheckerを開発した。
• 参考スコア（独自算出の注目度）: 6.338839764436795
• License:
• Abstract: As the field of Web3 continues its rapid expansion, the security of Web3 authentication, often the gateway to various Web3 applications, becomes increasingly crucial. Despite its widespread use as a login method by numerous Web3 applications, the security risks of Web3 authentication have not received much attention. This paper investigates the vulnerabilities in the Web3 authentication process and proposes a new type of attack, dubbed blind message attacks. In blind message attacks, attackers trick users into blindly signing messages from target applications by exploiting users' inability to verify the source of messages, thereby achieving unauthorized access to the target application. We have developed Web3AuthChecker, a dynamic detection tool that interacts with Web3 authentication-related APIs to identify vulnerabilities. Our evaluation of real-world Web3 applications shows that a staggering 75.8% (22/29) of Web3 authentication deployments are at risk of blind message attacks. In response to this alarming situation, we implemented Web3AuthGuard on the open-source wallet MetaMask to alert users of potential attacks. Our evaluation results show that Web3AuthGuard can successfully raise alerts in 80% of the tested Web3 authentications. We have responsibly reported our findings to vulnerable websites and have been assigned two CVE IDs.
• Abstract（参考訳）: Web3の分野が急速に拡大していくにつれ、様々なWeb3アプリケーションへのゲートウェイであるWeb3認証のセキュリティがますます重要になっている。 多くのWeb3アプリケーションでログイン方法として広く使われているが、Web3認証のセキュリティリスクはあまり注目されていない。 本稿では,Web3認証プロセスの脆弱性を調査し,ブラインドメッセージ攻撃と呼ばれる新たなタイプの攻撃を提案する。 ブラインドメッセージ攻撃では、攻撃者はユーザーがメッセージのソースを検証できないことを悪用し、ターゲットアプリケーションへの不正アクセスを達成することで、ターゲットアプリケーションからのメッセージに盲目的に署名するようユーザを騙す。 我々は,Web3認証関連APIと対話して脆弱性を特定する動的検出ツールであるWeb3AuthCheckerを開発した。 実世界のWeb3アプリケーションに対する我々の評価は、75.8%(22/29)のWeb3認証デプロイメントが盲目のメッセージアタックのリスクにさらされていることを示している。 この警告に応えて、私たちはオープンソースのウォレットMetaMaskにWeb3AuthGuardを実装し、攻撃の可能性をユーザに警告しました。 評価の結果,Web3AuthGuardはテスト済みのWeb3認証の80%で警告を発生させることができた。 我々は、我々の発見を脆弱なウェブサイトに責任を持って報告し、2つのCVE IDを割り当てた。

関連論文リスト

• FATH: Authentication-based Test-time Defense against Indirect Prompt Injection Attacks [45.65210717380502]
  大規模言語モデル(LLM)は、現実世界のアプリケーションのための追加ツールとテキスト情報を備えたバックボーンとして広くデプロイされている。 プロンプトインジェクション攻撃は特に脅威であり、外部のテキスト情報に悪意のあるインストラクションを注入することで、LLMを利用して攻撃者が望む答えを生成することができる。 本稿では,AuThentication with Hash-based tags (FATH)という新しいテストタイム防衛戦略を紹介する。
  論文  参考訳（メタデータ） (2024-10-28T20:02:47Z)
• The Emperor is Now Clothed: A Secure Governance Framework for Web User Authentication through Password Managers [0.9599644507730105]
  パスワードマネージャとWebアプリケーション間のインタラクションを促進する既存のアプローチは、適切な機能を提供し、重要な攻撃に対する緩和戦略を提供していない。 本稿では,パスワードマネージャとWebアプリケーション間のインタラクションを仲介するブラウザベースのガバナンスフレームワークであるBerytusを提案する。
  論文  参考訳（メタデータ） (2024-07-09T19:49:49Z)
• Rethinking the Vulnerabilities of Face Recognition Systems:From a Practical Perspective [53.24281798458074]
  顔認識システム(FRS)は、監視やユーザー認証を含む重要なアプリケーションにますます統合されている。 最近の研究によると、FRSの脆弱性は敵(例えば、敵パッチ攻撃)やバックドア攻撃(例えば、データ中毒の訓練)であることが明らかになっている。
  論文  参考訳（メタデータ） (2024-05-21T13:34:23Z)
• A Novel Protocol Using Captive Portals for FIDO2 Network Authentication [45.84205238554709]
  FIDO2CAP: FIDO2 Captive-portal Authentication Protocolを紹介する。 本研究では,FIDO2CAP認証のプロトタイプをモックシナリオで開発する。 この研究は、FIDO2認証に依存する新しい認証パラダイムにネットワーク認証を適用するための最初の体系的なアプローチである。
  論文  参考訳（メタデータ） (2024-02-20T09:55:20Z)
• Reducing Usefulness of Stolen Credentials in SSO Contexts [0.0]
  マルチファクタ認証(MFA)は、有効な認証情報を使用する攻撃を阻止するのに役立つが、攻撃者は依然として、ユーザをMFAのステップアップ要求を受け入れるように騙してシステムを侵害する。 本稿では,モバイル機器管理よりもユーザデバイスへの侵入性が低いトークンベースの登録アーキテクチャを提案する。
  論文  参考訳（メタデータ） (2024-01-21T21:05:32Z)
• Architecture of Smart Certificates for Web3 Applications Against Cyberthreats in Financial Industry [2.795656498870966]
  この研究は、現在のインターネットに関連するセキュリティ上の課題に対処し、特にブロックチェーンや分散ストレージといった新興技術に焦点を当てている。 また、インターネットの未来を形成する上でのWeb3アプリケーションの役割についても検討している。
  論文  参考訳（メタデータ） (2023-11-03T14:51:24Z)
• Exposing and Addressing Security Vulnerabilities in Browser Text Input Fields [22.717150034358948]
  ウェブブラウザにおけるテキスト入力フィールドのセキュリティに関する総合的な分析を行う。 ブラウザの粗粒度パーミッションモデルが2つのセキュリティ設計原則に違反していることが分かりました。 入力フィールドに2つの脆弱性を発見した。
  論文  参考訳（メタデータ） (2023-08-30T21:02:48Z)
• Not what you've signed up for: Compromising Real-World LLM-Integrated Applications with Indirect Prompt Injection [64.67495502772866]
  大規模言語モデル(LLM)は、様々なアプリケーションに統合されつつある。 本稿では、プロンプトインジェクション攻撃を用いて、攻撃者が元の命令をオーバーライドし、制御を採用する方法を示す。 我々は、コンピュータセキュリティの観点から、影響や脆弱性を体系的に調査する包括的な分類法を導出する。
  論文  参考訳（メタデータ） (2023-02-23T17:14:38Z)
• Robust and Verifiable Information Embedding Attacks to Deep Neural Networks via Error-Correcting Codes [81.85509264573948]
  ディープラーニングの時代、ユーザは、サードパーティの機械学習ツールを使用して、ディープニューラルネットワーク(DNN)分類器をトレーニングすることが多い。 情報埋め込み攻撃では、攻撃者は悪意のあるサードパーティの機械学習ツールを提供する。 本研究では,一般的なポストプロセッシング手法に対して検証可能で堅牢な情報埋め込み攻撃を設計することを目的とする。
  論文  参考訳（メタデータ） (2020-10-26T17:42:42Z)
• Backdoor Attack against Speaker Verification [86.43395230456339]
  学習データを汚染することにより,話者検証モデルに隠れたバックドアを注入できることを示す。 また,既存のバックドア攻撃が話者認証攻撃に直接適用できないことも実証した。
  論文  参考訳（メタデータ） (2020-10-22T11:10:08Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。