Wu cho biết, Giám đốc An ninh Thông tin của Slow Mist 23pds đã tweet rằng, các nhà nghiên cứu phát hiện ra một cách tấn công mới có thể vượt qua đăng nhập bằng khóa WebAuthn. Kẻ tấn công có thể chiếm đoạt API WebAuthn thông qua tiện ích mở rộng trình duyệt độc hại hoặc lỗ hổng XSS của trang web, từ đó buộc phải hạ cấp xuống đăng nhập bằng mật khẩu hoặc can thiệp vào quy trình đăng ký khóa, qua đó đánh cắp thông tin xác thực của người dùng. Cuộc tấn công này không cần truy cập vào thiết bị thực tế hoặc Face ID, một khi người dùng sử dụng khóa bảo mật để đăng nhập trên trang web bị nhiễm, họ có thể bị mạo danh danh tính, tài khoản đang đối mặt với rủi ro bị tấn công. WebAuthn là một tiêu chuẩn xác thực không mật khẩu dựa trên Mật mã học khóa công khai, nhằm thay thế đăng nhập bằng mật khẩu truyền thống bằng khóa bảo mật phần cứng hoặc thiết bị sinh trắc học.