漏洞关键信息 漏洞描述 名称: Master key that encrypts all passkeys is visible in plain text and vulnerable to leakage 类型: Vulnerability 优先级: P2 严重性: S3 状态: Fixed 漏洞详情 版本: Chromium 138.0.7204.158 (64-bit) 操作系统: Windows, Version 138.0.7204.158 (64-bit) 漏洞细节 加密密钥: 在 Chrome 的 中以明文形式可见。 风险: 从设计和代码角度来看,密钥可能通过 Chrome 反馈工具从 ChromeOS 泄漏到 Chrome 后端服务器。 具体内容: - Master key (也称为 Security domain key 或 SDK) 是用于加密所有 passkeys 的密钥。 - 密钥在用户注册客户端与 GPM (Google Password Manager) 存储 passkeys 的会话中可见。 再现步骤 1. 创建新 Google 账户或使用从未保存过 passkey 的账户。 2. 访问 WebAuthn.io 并输入 passkey 名称,点击“Register”按钮。 3. 选择“Google password manager”(GPM),点击 Create 并输入 GPM Pin。 4. passkeys 创建后,访问 ,确保“FIDO”被选择为日志类型之一。 5. 观察日志,找到秘钥以秘钥名显示的行,这是未加密的 SDK 或 Security domain key。 6. 访问 ChromeOS 的反馈日志,相同的日志在 类中上传,用户可以通过“非网络”部分查看。 风险点 日志中的未加密 SDK 可能通过 RedactHashes 方法过滤,但如果 RedactHashes 方法发生更改,原始 SDK 可能会泄漏。 相关标签 标签: Vulnerability, P2, Unconfirmed, Security_Impact-Extended, CVE_description-submitted CVE: 2025-12910