Negli ultimi tempi si è tornati a parlare della sicurezza delle autenticazioni FIDO a causa di una presunta vulnerabilità sfruttata da un gruppo cybercriminale noto come PoisonSeed. Tuttavia, analizzando i dettagli tecnici diffusi e le successive rettifiche, emerge che non si tratta di un vero bypass delle protezioni FIDO, ma piuttosto di uno scenario di downgrade della sicurezza tramite tecniche di phishing avanzato e abuso di funzionalità legittime.

La tecnica di attacco attribuita a PoisonSeed

La tecnica attribuita a PoisonSeed sfrutta la funzione di cross-device sign-in prevista dallo standard FIDO2. Questa funzione consente agli utenti di autenticarsi su un dispositivo, come il PC, utilizzando un secondo device, di solito il proprio smartphone, che contiene la passkey FIDO. Gli attaccanti realizzano campagne di phishing mirate, inducendo le vittime a inserire le proprie credenziali su portali di autenticazione falsi, molto simili a quelli aziendali reali (come le pagine Okta). Dopo aver raccolto username e password, gli attaccanti innescano la procedura di login reale, la quale, in caso di abilitazione del cross-device sign-in, genera un codice QR. Questo QR code viene intercettato dal sito phishing e riproposto alla vittima, che lo scansiona con la propria app di autenticazione mobile, completando così involontariamente la sessione malevola.

Limiti e contromisure delle implementazioni cross-device

Va sottolineato che questa tecnica non sfrutta vulnerabilità intrinseche del protocollo FIDO2, ma piuttosto i limiti di implementazione di alcuni flussi di autenticazione cross-device. Infatti, la sicurezza del processo dipende spesso dal controllo della prossimità tra i due dispositivi coinvolti (ad esempio tramite Bluetooth). Se tale verifica non è obbligatoria o viene aggirata, il rischio di phishing aumenta notevolmente. In ambienti in cui si utilizzano chiavi hardware collegate fisicamente al dispositivo di accesso, oppure autenticatori legati al contesto del browser (come Face ID), questo vettore d’attacco diventa inefficace.

Raccomandazioni degli esperti

Gli esperti raccomandano di affiancare sempre alle autenticazioni FIDO2 controlli aggiuntivi sulla verifica del dispositivo e di monitorare con attenzione eventi insoliti come nuove registrazioni di passkey o login tramite QR code. Fondamentale anche rafforzare i processi di recupero account con metodi resistenti al phishing, evitando di vanificare la robustezza dell’infrastruttura di identità con procedure deboli nei punti critici.

Il ruolo dell’utente nella sicurezza FIDO2

Il caso PoisonSeed dimostra come, anche in presenza di tecnologie avanzate come FIDO2, l’interazione tra utenti e sistemi possa rappresentare un punto debole se non vengono adottate best practice sia a livello tecnico che di awareness.