Uh-Oh! Die Multi-Faktor-Authentifizierung von TikTok kann in Browsern umgangen werden

TikTok ist trotz der Spannungen um die Zukunft der App in den USA immer noch stark. Es gibt jedoch ein erhebliches Problem mit einer großartigen Sicherheitsfunktion, die die App im August hinzugefügt hat. Die Multifaktorauthentifizierung von Tiktok kann problemlos vollständig übersprungen werden, wenn Sie sich mit einem Webbrowser bei der Plattform anmelden.

TikTok, das endlich eine Form der Zwei-Faktor-Authentifizierung hinzufügte, wurde Anfang dieses Jahres als eine großartige und dringend benötigte neue Funktion angekündigt. Es stellt sich jedoch heraus, dass die Multi-Faktor-Authentifizierung nur dann aktiviert wird, wenn TikTok auf einem Mobiltelefon verwendet wird. In der Tat bedeutet dies, dass schlechte Akteure, die die Anmeldeinformationen eines Benutzers erhalten haben, Zugriff auf ihr Konto erhalten können, indem sie sich einfach über einen Browser anmelden und dem MFA-Schritt vollständig ausweichen.

TikTok gab knapp bekannt, dass sie beabsichtigen, ihre MFA-Funktionalität zu erweitern, um die Nutzung des Webbrowsers in naher Zukunft abzudecken.

Glücklicherweise sind die Dinge nicht so beängstigend, wie sie erscheinen, selbst wenn es einem vermuteten Angriff gelungen ist, ein TikTok-Konto über den Browser-MFA-Skip-Exploit zu übernehmen. Das in der Browserversion der Plattform verfügbare Web-Dashboard verfügt im Vergleich zur mobilen Version über eingeschränkte Funktionen. Beispielsweise ist eine vollständige Kontoübernahme durch eine Kennwortänderung nicht möglich. Diese Art von Zugriff und Funktionalität ist nur in der mobilen App vorhanden.

Die schlechten Schauspieler könnten das kompromittierte Konto jedoch weiterhin verwenden, um Videoclips zu veröffentlichen, Betrug zu verbreiten oder den Benutzer auf andere Weise zu kompromittieren. Diese relativ begrenzten Optionen sind nicht ohne Konsequenz, da eine mögliche Massenübernahme von Konten verwendet werden kann, um gut organisierte Betrügereien durchzuführen und gefälschte Nachrichten zu verbreiten.

Ein weiteres Problem, das mit dem Web-Dashboard festgestellt wurde, ist, dass ein Benutzer auf Mobilgeräten keinerlei Benachrichtigung erhält, dass sein Konto derzeit in einem Browser verwendet wird. Hoffentlich wird dies in Zukunft zusammen mit dem MFA-Fix für Browser behoben.

Warum Sie MFA verwenden sollten, wann immer Sie können

Die Multi-Faktor-Authentifizierung ist zu einer relativ weit verbreiteten zusätzlichen Sicherheitsmaßnahme geworden, die Plattformen ihren Benutzern bieten. MFA zwingt normalerweise jeden, der versucht, sich in ein Konto einzuloggen, zur Bereitstellung eines speziellen Sicherheitsschlüssels oder Tokens, der häufig per Text an eine bekannte und vertrauenswürdige Mobilgerätenummer übermittelt wird. Dies schränkt die Wahrscheinlichkeit, dass schlechte Akteure Passwörter brutal erzwingen oder ausgemerzte Anmeldeinformationen verwenden, um Konten auf einer beliebigen Plattform zu übernehmen, erheblich ein, da ein zusätzlicher Schritt eingeführt wird, der den Zugriff auf das Mobiltelefon des Benutzers erfordert.

Dies bedeutet nicht, dass MFA 100% ige Sicherheit gegen Angriffe bietet, da bekannt ist, dass bestimmte Implementierungen von MFA umgangen wurden. Trotzdem ist es ein Tool, das immer verwendet werden sollte, wenn es verfügbar ist, da es das Risiko für Ihr Konto auf einer bestimmten Plattform erheblich senkt.

September 29, 2020
Lade...

Cyclonis Backup Details & Terms

Mit dem Free Basic Cyclonis Backup-Plan erhalten Sie 2 GB Cloud-Speicherplatz mit voller Funktionalität! Keine Kreditkarte benötigt. Benötigen Sie mehr Stauraum? Kaufen Sie noch heute einen größeren Cyclonis Backup-Plan! Um mehr über unsere Richtlinien und Preise zu erfahren, sehen SieNutzungsbedingungen, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Cyclonis Password Manager Details & Terms

KOSTENLOSE Testversion: 30-tägiges einmaliges Angebot! Für die kostenlose Testversion ist keine Kreditkarte erforderlich. Volle Funktionalität für die Dauer der kostenlosen Testversion. (Die volle Funktionalität nach der kostenlosen Testversion erfordert den Kauf eines Abonnements.) Um mehr über unsere Richtlinien und Preise zu erfahren, sehen Sie EULA, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.