Uh Oh! L'autenticazione a più fattori di TikTok può essere ignorata nei browser
TikTok sta ancora andando forte nonostante la tensione che circonda il futuro dell'app negli Stati Uniti. Tuttavia, c'è un problema significativo con una grande funzionalità di sicurezza aggiunta dall'app ad agosto. L'autenticazione a più fattori di Tiktok può essere facilmente saltata del tutto se accedi alla piattaforma utilizzando un browser web.
TikTok che ha finalmente aggiunto una qualche forma di autenticazione a due fattori è stata annunciata come una nuova funzionalità fantastica e tanto necessaria all'inizio di quest'anno. Tuttavia, si scopre che l'autenticazione a più fattori si attiva solo se TikTok viene utilizzato su un telefono cellulare. In effetti, ciò significa che se i malintenzionati si impossessano delle credenziali di accesso di un utente , possono accedere al proprio account semplicemente accedendo tramite un browser, schivando completamente il passaggio MFA.
TikTok ha dichiarato in modo conciso che intende espandere la propria funzionalità MFA per coprire l'utilizzo del browser Web nel prossimo futuro.
Per fortuna, anche se un presunto attacco è riuscito a prendere il controllo di un account TikTok tramite il browser MFA skip exploit, le cose non sono così spaventose come sembrano. La dashboard web disponibile nella versione browser della piattaforma ha funzionalità limitate rispetto alla versione mobile. Ad esempio, il controllo completo dell'account tramite una modifica della password non è possibile. Questo tipo di accesso e funzionalità è presente solo nell'app mobile.
Tuttavia, i cattivi attori potrebbero ancora utilizzare l'account compromesso per pubblicare video clip attraverso di esso, diffondere truffe o tentare di compromettere l'utente in qualche altro modo. Queste opzioni relativamente limitate non sono prive di conseguenze, poiché una possibile acquisizione in massa degli account può essere utilizzata per eseguire truffe ben organizzate e diffondere notizie false.
Un altro problema che è stato scoperto con la dashboard web è che un utente su dispositivo mobile non riceve alcun tipo di notifica che al momento il suo account è in uso su un browser. Si spera che questo verrà risolto in futuro, insieme alla correzione MFA per i browser.
Perché dovresti usare MFA ogni volta che puoi
L'autenticazione a più fattori è diventata una misura di sicurezza aggiuntiva relativamente diffusa che le piattaforme offrono ai propri utenti. MFA di solito costringe chiunque tenti di accedere a un account a fornire una chiave o un token di sicurezza speciale, spesso consegnato tramite testo a un numero di dispositivo mobile noto e affidabile. Ciò limita fortemente la probabilità che i malintenzionati forzino le password o utilizzino le credenziali di phishing per assumere il controllo degli account su qualsiasi piattaforma, poiché viene introdotto un passaggio aggiuntivo che richiede l'accesso al telefono cellulare dell'utente.
Ciò non significa che MFA offra il 100% di sicurezza contro gli attacchi, poiché sono stati riscontrati casi noti di aggirare determinate implementazioni di MFA. Nonostante ciò, è uno strumento che dovrebbe essere sempre utilizzato quando disponibile poiché riduce notevolmente il rischio per il tuo account su qualsiasi piattaforma.
