Ωχ! Ο έλεγχος ταυτότητας πολλαπλών παραγόντων του TikTok μπορεί να παραβλεφθεί στα προγράμματα περιήγησης
Το TikTok εξακολουθεί να είναι ισχυρό παρά την ένταση γύρω από το μέλλον της εφαρμογής στις ΗΠΑ. Ωστόσο, υπάρχει ένα σημαντικό πρόβλημα με ένα εξαιρετικό χαρακτηριστικό ασφαλείας που προστέθηκε η εφαρμογή τον Αύγουστο. Ο έλεγχος ταυτότητας πολλαπλών παραγόντων του Tiktok μπορεί εύκολα να παραλειφθεί πλήρως αν συνδεθείτε στην πλατφόρμα χρησιμοποιώντας πρόγραμμα περιήγησης ιστού.
Η TikTok προσθέτοντας τελικά κάποια μορφή ελέγχου ταυτότητας δύο παραγόντων, προαναγγέλθηκε ως μια εξαιρετική και απαραίτητη νέα δυνατότητα νωρίτερα αυτό το έτος. Ωστόσο, αποδεικνύεται ότι ο έλεγχος ταυτότητας πολλαπλών παραγόντων ξεκινά μόνο εάν το TikTok χρησιμοποιείται σε κινητό τηλέφωνο. Στην πραγματικότητα, αυτό σημαίνει ότι εάν οι κακοί παράγοντες αποκτήσουν τα διαπιστευτήρια σύνδεσης ενός χρήστη , μπορούν να αποκτήσουν πρόσβαση στον λογαριασμό τους απλά πραγματοποιώντας σύνδεση μέσω ενός προγράμματος περιήγησης, αποφεύγοντας εντελώς το βήμα MFA.
Η TikTok δήλωσε ξεκάθαρα ότι σκοπεύει να επεκτείνει τη λειτουργικότητά τους MFA για να καλύψει τη χρήση του προγράμματος περιήγησης ιστού στο εγγύς μέλλον.
Ευτυχώς, ακόμα κι αν μια υποτιθέμενη επίθεση κατάφερε να αναλάβει έναν λογαριασμό TikTok μέσω του προγράμματος περιήγησης MFA skip exploit, τα πράγματα δεν είναι τόσο τρομακτικά όσο εμφανίζονται. Ο πίνακας ελέγχου ιστού που διατίθεται στην έκδοση του προγράμματος περιήγησης της πλατφόρμας έχει περιορισμένη λειτουργικότητα σε σύγκριση με την έκδοση για κινητά. Για παράδειγμα, δεν είναι δυνατή η πλήρης ανάληψη λογαριασμού μέσω αλλαγής κωδικού πρόσβασης. Αυτό το είδος πρόσβασης και λειτουργικότητας υπάρχει μόνο στην εφαρμογή για κινητά.
Ωστόσο, οι κακοί ηθοποιοί θα μπορούσαν ακόμα να χρησιμοποιήσουν τον παραβιασμένο λογαριασμό για να δημοσιεύσουν βίντεο κλιπ μέσω αυτού, διαδίδοντας απάτες ή προσπαθώντας να θέσουν σε κίνδυνο τον χρήστη με κάποιον άλλο τρόπο. Αυτές οι σχετικά περιορισμένες επιλογές δεν είναι χωρίς συνέπεια, καθώς μια πιθανή μαζική εξαγορά λογαριασμών μπορεί να χρησιμοποιηθεί για την εκτέλεση καλά οργανωμένων απάτων και τη διάδοση ψευδών ειδήσεων.
Ένα άλλο ζήτημα που ανακαλύφθηκε με τον πίνακα ελέγχου ιστού είναι ότι ένας χρήστης σε κινητά δεν λαμβάνει καμία ειδοποίηση ότι ο λογαριασμός του χρησιμοποιείται αυτήν τη στιγμή σε πρόγραμμα περιήγησης. Ας ελπίσουμε ότι αυτό θα αντιμετωπιστεί στο μέλλον, μαζί με την ενημέρωση κώδικα MFA για προγράμματα περιήγησης.
Γιατί πρέπει να χρησιμοποιείτε MFA όποτε μπορείτε
Ο έλεγχος ταυτότητας πολλών παραγόντων έχει γίνει ένα σχετικά διαδεδομένο επιπλέον μέτρο ασφαλείας που προσφέρουν οι πλατφόρμες στους χρήστες τους. Το MFA αναγκάζει συνήθως οποιονδήποτε προσπαθεί να συνδεθεί σε έναν λογαριασμό για να παρέχει ένα ειδικό κλειδί ή διακριτικό ασφαλείας, που συχνά παραδίδεται μέσω κειμένου σε έναν γνωστό και αξιόπιστο αριθμό κινητής συσκευής. Αυτό περιορίζει σοβαρά την πιθανότητα των κακών ηθοποιών να κάνουν βίαια κωδικούς πρόσβασης ή να χρησιμοποιούν διαπιστευμένα ψευδείς κωδικούς για να αναλάβουν λογαριασμούς σε οποιαδήποτε πλατφόρμα, καθώς εισάγεται ένα επιπλέον βήμα που απαιτεί πρόσβαση στο κινητό τηλέφωνο του χρήστη.
Αυτό δεν σημαίνει ότι η MFA προσφέρει 100% ασφάλεια έναντι επιθέσεων, καθώς υπήρξαν γνωστές περιπτώσεις παράκαμψης ορισμένων εφαρμογών της MFA. Παρά το γεγονός αυτό, είναι ένα εργαλείο που πρέπει πάντα να χρησιμοποιείται όταν είναι διαθέσιμο καθώς μειώνει σε μεγάλο βαθμό τον κίνδυνο για τον λογαριασμό σας σε οποιαδήποτε δεδομένη πλατφόρμα.
