“PoisonSeed”黑客攻击FIDO密钥？真相是：技术未被攻破，但用户可能被“骗过”

近日，一则关于“PoisonSeed”黑客组织成功绕过FIDO安全密钥的消息在网络安全圈引发热议。The Hacker News报道称，该团伙利用一种新型网络钓鱼手法，突破了被视为“最安全”的FIDO身份验证机制，引发了公众对硬件密钥防护能力的广泛担忧。

然而，随着事件深入调查，一个关键转折出现了：所谓的“绕过FIDO”，其实是一场乌龙——FIDO协议本身并未被攻破，真正被“突破”的，是用户的判断力。

从“重大漏洞”到“误判通报”：一场安全界的“虚惊”

最初，网络安全公司Expel发布报告称，他们发现名为“PoisonSeed”的黑客组织利用一种名为“跨设备登录”（Cross-Device Sign-In）的功能，在不接触用户物理设备的情况下，成功完成了FIDO认证，从而实现账户接管。这一消息迅速被多家媒体解读为“FIDO密钥被破解”，甚至被称为“多因素认证的终结”。

但仅仅几天后，Expel公司紧急发布更正声明：他们的初步分析有误。

根据后续对Okta等身份系统的日志复查，虽然攻击者确实通过钓鱼邮件获取了受害者的用户名和密码，但在后续的多因素认证环节，所有基于FIDO的验证请求均未能成功。换言之，攻击者并未真正“进入”系统，账户最终未被完全控制。

Expel承认：“我们最初认为攻击者完成了整个认证流程，但经过与FIDO联盟及社区专家的沟通，我们意识到这一结论并不准确。” 公司已撤回“FIDO被绕过”的说法，并承诺改进其技术报告的审核流程。

攻击本质揭秘：不是“破解”，而是“降级”

那么，攻击者到底做了什么？

原来，PoisonSeed组织使用的是一种典型的“中间人式钓鱼”（Adversary-in-the-Middle, AitM）手法，核心在于滥用FIDO的“混合传输”（Hybrid Transport）功能。

具体流程如下：

诱导访问：受害者收到一封伪装成企业登录页面的钓鱼邮件。

凭证窃取：用户在钓鱼页面输入账号密码，这些信息被实时转发到真实登录页面。

触发二维码：真实系统要求进行FIDO认证，并生成一个用于“跨设备登录”的二维码。

中继欺骗：钓鱼网站自动捕获这个二维码，并将其展示给受害者。

用户“自愿”授权：受害者以为自己在正常扫码登录，便用手机上的FIDO应用扫描了二维码——而这一操作，实际上是在为攻击者的会话进行授权。

“这并不是FIDO被‘绕过’，而是被‘降级’了。” 公共互联网反网络钓鱼工作组技术专家芦笛解释道，“FIDO标准要求在跨设备认证时必须验证设备间的物理接近性，比如通过蓝牙或NFC。但如果系统没有强制执行这一检查，仅依赖二维码，就给了攻击者可乘之机。”

他打了个比方：“这就像是银行允许你远程授权别人替你取钱，只要对方能给你看一张‘授权码’的照片。虽然程序上合规，但风险极高。”

FIDO依然安全，但实施方式需优化

值得强调的是，此次事件并未暴露FIDO协议本身的漏洞。FIDO Alliance（FIDO联盟）和Yubico等安全厂商均表示，只要正确实施，尤其是强制使用蓝牙等近距离通信技术进行设备配对，此类攻击是无法成功的。

问题出在配置和用户体验的权衡上。为了方便员工在公共电脑或新设备上登录，一些企业启用了无需蓝牙的二维码扫码登录，这无形中削弱了安全性。

“FIDO的安全性取决于它的实现方式。” 芦笛指出，“就像一把好锁，如果门框是纸做的，再坚固也没用。企业在部署FIDO时，必须关闭那些容易被滥用的‘便利功能’，尤其是在高权限账户上。”

安全建议：技术+意识+监控，缺一不可

面对这类高级钓鱼攻击，专家建议采取多层次防御策略：

技术层面：企业应强制启用蓝牙、NFC等近场通信技术进行FIDO跨设备认证；限制二维码登录的使用范围；部署具备实时钓鱼检测能力的安全网关。

监控层面：密切关注异常的登录行为，如短时间内从不同地理位置发起的认证请求、非工作时间的跨设备登录等。

人员层面：加强员工安全培训，特别提醒“不要随意扫描来源不明的二维码”，即使是看似来自内部系统的请求。

“真正的安全，是让用户既方便又安全。” 芦笛总结道，“但当便利与安全冲突时，我们必须优先选择安全。毕竟，账户一旦失守，再多的便捷也毫无意义。”

结语

“PoisonSeed”事件虽以“误报”收场，但它敲响了警钟：没有任何单一技术能提供绝对安全。在日益复杂的网络威胁面前，企业需要的是一个集技术、流程与人员意识于一体的综合防御体系。FIDO仍然是目前最可靠的认证手段之一，但它的强大，离不开正确的配置和用户的警惕。

编辑：芦笛（公共互联网反网络钓鱼工作组）