論文の概要: CTRAPS: CTAP Client Impersonation and API Confusion on FIDO2

• arxiv url: http://arxiv.org/abs/2412.02349v1
• Date: Tue, 03 Dec 2024 10:11:41 GMT
• ステータス: 翻訳完了
• システム内更新日: 2024-12-04 15:40:17.646656
• Title: CTRAPS: CTAP Client Impersonation and API Confusion on FIDO2
• Title（参考訳）: CTRAPS: FIDO2上のCTAPクライアントの偽造とAPIの融合
• Authors: Marco Casagrande, Daniele Antonioli,
• Abstract要約: 我々は、FIDO2クライアントとハードウェア認証者が通信できるようにするCTAPに焦点を当てている。 CTRAPSと呼ばれるCTAPに対するプロトコルレベルの攻撃の2つのクラスを明らかにする。 我々はCTAP仕様の8つの脆弱性を詳述し、CTRAPS攻撃を可能にした。 我々はCTAPを分析し、CTRAPS攻撃を行うための元のツールキットであるCTRAPSをリリースする。
• 参考スコア（独自算出の注目度）: 2.949446809950691
• License:
• Abstract: FIDO2 is the standard technology for single-factor and second-factor authentication. It is specified in an open standard, including the WebAuthn and CTAP application layer protocols. We focus on CTAP, which allows FIDO2 clients and hardware authenticators to communicate. No prior work has explored the CTAP Authenticator API, a critical protocol-level attack surface. We address this gap by presenting the first security and privacy evaluation of the CTAP Authenticator API. We uncover two classes of protocol-level attacks on CTAP that we call CTRAPS. The client impersonation (CI) attacks exploit the lack of client authentication to tamper with FIDO2 authenticators. They include zero-click attacks capable of deleting FIDO2 credentials, including passkeys, without user interaction. The API confusion (AC) attacks abuse the lack of protocol API enforcements and confound FIDO2 authenticators, clients, and unaware users into calling unwanted CTAP APIs while thinking they are calling legitimate ones. The presented eleven attacks are conducted either in proximity or remotely and are effective regardless of the underlying CTAP transport. We detail the eight vulnerabilities in the CTAP specification, enabling the CTRAPS attacks. Six are novel and include unauthenticated CTAP clients and trackable FIDO2 credentials. We release CTRAPS, an original toolkit, to analyze CTAP and conduct the CTRAPS attacks. We confirm the attacks practicality on a large scale by exploiting six popular authenticators, including a FIPS-certified one from Yubico, Feitian, SoloKeys, and Google, and ten widely used relying parties, such as Microsoft, Apple, GitHub, and Facebook. We present eight practical and backward-compliant countermeasures to fix the attacks and their root causes. We responsibly disclosed our findings to the FIDO alliance and the affected vendors.
• Abstract（参考訳）: FIDO2は単一要素認証と第二要素認証の標準技術である。 WebAuthnとCTAPアプリケーション層プロトコルを含むオープン標準で指定されている。 我々は、FIDO2クライアントとハードウェア認証者が通信できるようにするCTAPに焦点を当てている。 CTAP Authenticator APIは、重要なプロトコルレベルのアタックサーフェスである。 我々は,CTAP Authenticator APIの最初のセキュリティとプライバシの評価を提示することによって,このギャップに対処する。 CTRAPSと呼ばれるCTAPに対するプロトコルレベルの攻撃の2つのクラスを明らかにする。 クライアント偽造(CI)攻撃は、FIDO2認証を改ざんするためにクライアント認証の欠如を悪用する。 ユーザインタラクションなしで、パスキーを含むFIDO2認証情報を削除できるゼロクリック攻撃が含まれている。 APIの混乱(AC)攻撃は、プロトコルAPIの強制力の欠如を悪用し、FIDO2認証者、クライアント、そしてユーザを知らないユーザを、彼らが合法的なAPIを呼び出すことを考えながら、望ましくないCTAP APIを呼び出す。 提示された11回の攻撃は、近接または遠隔で行われ、基礎となるCTAP輸送に関係なく効果的である。 我々はCTAP仕様の8つの脆弱性を詳述し、CTRAPS攻撃を可能にした。 6つは新規で、認証されていないCTAPクライアントと追跡可能なFIDO2認証を含んでいる。 我々はCTAPを分析し、CTRAPS攻撃を行うための元のツールキットであるCTRAPSをリリースする。 この攻撃は、Yubico、Feitian、SoloKeys、GoogleのFIPS認証済みの認証済みの6つや、Microsoft、Apple、GitHub、Facebookなど、広く使われている10のサードパーティを悪用して、大規模に確認した。 我々は,攻撃とその根本原因を修正するために,実践的かつ後方対応の8つの対策を提示する。 FIDOアライアンスと影響を受けたベンダーに対して、当社の調査結果を責任を持って開示しました。

関連論文リスト

• EmInspector: Combating Backdoor Attacks in Federated Self-Supervised Learning Through Embedding Inspection [53.25863925815954]
  フェデレートされた自己教師付き学習(FSSL)は、クライアントの膨大な量の未ラベルデータの利用を可能にする、有望なパラダイムとして登場した。 FSSLはアドバンテージを提供するが、バックドア攻撃に対する感受性は調査されていない。 ローカルモデルの埋め込み空間を検査し,悪意のあるクライアントを検知する埋め込み検査器(EmInspector)を提案する。
  論文  参考訳（メタデータ） (2024-05-21T06:14:49Z)
• Biometrics-Based Authenticated Key Exchange with Multi-Factor Fuzzy Extractor [19.129363889273904]
  ユーザの秘密(例えばパスワード)とユーザの生体情報の両方を統合する新しい多要素ファジィ抽出器を提案する。 次に、この多要素ファジィ抽出器を用いて、新しい多要素認証鍵交換プロトコルで使用できる個人認証情報を構築する。
  論文  参考訳（メタデータ） (2024-05-19T05:50:28Z)
• A Novel Protocol Using Captive Portals for FIDO2 Network Authentication [45.84205238554709]
  FIDO2CAP: FIDO2 Captive-portal Authentication Protocolを紹介する。 本研究では,FIDO2CAP認証のプロトタイプをモックシナリオで開発する。 この研究は、FIDO2認証に依存する新しい認証パラダイムにネットワーク認証を適用するための最初の体系的なアプローチである。
  論文  参考訳（メタデータ） (2024-02-20T09:55:20Z)
• SOAP: A Social Authentication Protocol [0.0]
  私たちは、社会認証を正式に定義し、社会認証をほとんど自動化し、SOAPのセキュリティを正式に証明し、SOAPの実用性を実証するSOAPと呼ばれるプロトコルを提示します。 1つのプロトタイプはWebベースで、もう1つはオープンソースのSignalメッセージングアプリケーションで実装されている。
  論文  参考訳（メタデータ） (2024-02-05T17:03:10Z)
• Reducing Usefulness of Stolen Credentials in SSO Contexts [0.0]
  マルチファクタ認証(MFA)は、有効な認証情報を使用する攻撃を阻止するのに役立つが、攻撃者は依然として、ユーザをMFAのステップアップ要求を受け入れるように騙してシステムを侵害する。 本稿では,モバイル機器管理よりもユーザデバイスへの侵入性が低いトークンベースの登録アーキテクチャを提案する。
  論文  参考訳（メタデータ） (2024-01-21T21:05:32Z)
• Tamper-Evident Pairing [55.2480439325792]
  Tamper-Evident Pairing (TEP)はPush-ButtonConfiguration (PBC)標準の改良である。 TEP は Tamper-Evident Announcement (TEA) に依存しており、相手が送信されたメッセージを検出せずに改ざんしたり、メッセージが送信された事実を隠蔽したりすることを保証している。 本稿では,その動作を理解するために必要なすべての情報を含む,TEPプロトコルの概要について概説する。
  論文  参考訳（メタデータ） (2023-11-24T18:54:00Z)
• Conditional Generative Adversarial Network for keystroke presentation attack [0.0]
  本稿では,キーストローク認証システムへのプレゼンテーションアタックの展開を目的とした新しいアプローチを提案する。 我々の考えは、認証されたユーザを偽装するために使用できる合成キーストロークデータを生成するために、条件付き生成適応ネットワーク(cGAN)を使用することである。 その結果、cGANは、キーストローク認証システムを無効にするために使用できるキーストロークダイナミックスパターンを効果的に生成できることが示唆された。
  論文  参考訳（メタデータ） (2022-12-16T12:45:16Z)
• FLCert: Provably Secure Federated Learning against Poisoning Attacks [67.8846134295194]
  FLCertは、有毒な攻撃に対して確実に安全であるアンサンブル・フェデレート学習フレームワークである。 実験の結果,テスト入力に対するFLCertで予測されたラベルは,有意な数の悪意のあるクライアントによって影響を受けないことが判明した。
  論文  参考訳（メタデータ） (2022-10-02T17:50:04Z)
• Robust and Verifiable Information Embedding Attacks to Deep Neural Networks via Error-Correcting Codes [81.85509264573948]
  ディープラーニングの時代、ユーザは、サードパーティの機械学習ツールを使用して、ディープニューラルネットワーク(DNN)分類器をトレーニングすることが多い。 情報埋め込み攻撃では、攻撃者は悪意のあるサードパーティの機械学習ツールを提供する。 本研究では,一般的なポストプロセッシング手法に対して検証可能で堅牢な情報埋め込み攻撃を設計することを目的とする。
  論文  参考訳（メタデータ） (2020-10-26T17:42:42Z)
• Mind the GAP: Security & Privacy Risks of Contact Tracing Apps [75.7995398006171]
  GoogleとAppleは共同で,Bluetooth Low Energyを使用した分散型コントラクトトレースアプリを実装するための公開通知APIを提供している。 実世界のシナリオでは、GAP設計は(i)プロファイリングに脆弱で、(ii)偽の連絡先を生成できるリレーベースのワームホール攻撃に弱いことを実証する。
  論文  参考訳（メタデータ） (2020-06-10T16:05:05Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。