Uh-Oh! Die Multi-Faktor-Authentifizierung von TikTok kann in Browsern umgangen werden
TikTok ist trotz der Spannungen um die Zukunft der App in den USA immer noch stark. Es gibt jedoch ein erhebliches Problem mit einer großartigen Sicherheitsfunktion, die die App im August hinzugefügt hat. Die Multifaktorauthentifizierung von Tiktok kann problemlos vollständig übersprungen werden, wenn Sie sich mit einem Webbrowser bei der Plattform anmelden.
TikTok, das endlich eine Form der Zwei-Faktor-Authentifizierung hinzufügte, wurde Anfang dieses Jahres als eine großartige und dringend benötigte neue Funktion angekündigt. Es stellt sich jedoch heraus, dass die Multi-Faktor-Authentifizierung nur dann aktiviert wird, wenn TikTok auf einem Mobiltelefon verwendet wird. In der Tat bedeutet dies, dass schlechte Akteure, die die Anmeldeinformationen eines Benutzers erhalten haben, Zugriff auf ihr Konto erhalten können, indem sie sich einfach über einen Browser anmelden und dem MFA-Schritt vollständig ausweichen.
TikTok gab knapp bekannt, dass sie beabsichtigen, ihre MFA-Funktionalität zu erweitern, um die Nutzung des Webbrowsers in naher Zukunft abzudecken.
Glücklicherweise sind die Dinge nicht so beängstigend, wie sie erscheinen, selbst wenn es einem vermuteten Angriff gelungen ist, ein TikTok-Konto über den Browser-MFA-Skip-Exploit zu übernehmen. Das in der Browserversion der Plattform verfügbare Web-Dashboard verfügt im Vergleich zur mobilen Version über eingeschränkte Funktionen. Beispielsweise ist eine vollständige Kontoübernahme durch eine Kennwortänderung nicht möglich. Diese Art von Zugriff und Funktionalität ist nur in der mobilen App vorhanden.
Die schlechten Schauspieler könnten das kompromittierte Konto jedoch weiterhin verwenden, um Videoclips zu veröffentlichen, Betrug zu verbreiten oder den Benutzer auf andere Weise zu kompromittieren. Diese relativ begrenzten Optionen sind nicht ohne Konsequenz, da eine mögliche Massenübernahme von Konten verwendet werden kann, um gut organisierte Betrügereien durchzuführen und gefälschte Nachrichten zu verbreiten.
Ein weiteres Problem, das mit dem Web-Dashboard festgestellt wurde, ist, dass ein Benutzer auf Mobilgeräten keinerlei Benachrichtigung erhält, dass sein Konto derzeit in einem Browser verwendet wird. Hoffentlich wird dies in Zukunft zusammen mit dem MFA-Fix für Browser behoben.
Warum Sie MFA verwenden sollten, wann immer Sie können
Die Multi-Faktor-Authentifizierung ist zu einer relativ weit verbreiteten zusätzlichen Sicherheitsmaßnahme geworden, die Plattformen ihren Benutzern bieten. MFA zwingt normalerweise jeden, der versucht, sich in ein Konto einzuloggen, zur Bereitstellung eines speziellen Sicherheitsschlüssels oder Tokens, der häufig per Text an eine bekannte und vertrauenswürdige Mobilgerätenummer übermittelt wird. Dies schränkt die Wahrscheinlichkeit, dass schlechte Akteure Passwörter brutal erzwingen oder ausgemerzte Anmeldeinformationen verwenden, um Konten auf einer beliebigen Plattform zu übernehmen, erheblich ein, da ein zusätzlicher Schritt eingeführt wird, der den Zugriff auf das Mobiltelefon des Benutzers erfordert.
Dies bedeutet nicht, dass MFA 100% ige Sicherheit gegen Angriffe bietet, da bekannt ist, dass bestimmte Implementierungen von MFA umgangen wurden. Trotzdem ist es ein Tool, das immer verwendet werden sollte, wenn es verfügbar ist, da es das Risiko für Ihr Konto auf einer bestimmten Plattform erheblich senkt.