O o! Uwierzytelnianie wieloskładnikowe TikTok można ominąć w przeglądarkach

TikTok wciąż się rozwija, pomimo napięcia związanego z przyszłością aplikacji w USA. Istnieje jednak poważny problem z jedną świetną funkcją bezpieczeństwa, którą aplikacja dodała w sierpniu. Uwierzytelnianie wieloskładnikowe Tiktok można łatwo całkowicie pominąć, logując się na platformę za pomocą przeglądarki internetowej.

TikTok wreszcie dodanie jakiejś formy uwierzytelniania dwuskładnikowego zostało ogłoszone jako świetna i bardzo potrzebna nowa funkcja na początku tego roku. Okazuje się jednak, że uwierzytelnianie wieloskładnikowe działa tylko wtedy, gdy TikTok jest używany na telefonie komórkowym. W efekcie oznacza to, że jeśli źli aktorzy przechwycą dane logowania użytkownika , mogą uzyskać dostęp do swojego konta po prostu logując się przez przeglądarkę, całkowicie omijając krok MFA.

TikTok krótko oświadczył, że zamierza rozszerzyć swoją funkcjonalność MFA, aby objąć użytkowanie przeglądarki internetowej w najbliższej przyszłości.

Na szczęście, nawet jeśli przypuszczalny atak zdołał przejąć konto TikTok za pośrednictwem exploita MFA przeglądarki, nic nie jest tak przerażające, jak się wydaje. Pulpit nawigacyjny dostępny w wersji przeglądarkowej platformy ma ograniczoną funkcjonalność w porównaniu z wersją mobilną. Na przykład całkowite przejęcie konta poprzez zmianę hasła nie jest możliwe. Ten rodzaj dostępu i funkcjonalność występuje tylko w aplikacji mobilnej.

Jednak źli aktorzy mogą nadal używać zhakowanego konta, aby publikować klipy wideo za jego pośrednictwem, rozpowszechniać oszustwa lub próbować naruszyć użytkownika w inny sposób. Te stosunkowo ograniczone opcje nie są pozbawione konsekwencji, ponieważ ewentualne masowe przejęcie kont może zostać wykorzystane do prowadzenia dobrze zorganizowanych oszustw i rozpowszechniania fałszywych wiadomości.

Innym problemem, który został wykryty w panelu internetowym, jest to, że użytkownik telefonu komórkowego nie otrzymuje żadnego powiadomienia, że jego konto jest obecnie używane w przeglądarce. Miejmy nadzieję, że zostanie to rozwiązane w przyszłości wraz z poprawką MFA dla przeglądarek.

Dlaczego warto używać MFA, kiedy tylko możesz

Uwierzytelnianie wieloskładnikowe stało się stosunkowo rozpowszechnionym dodatkowym środkiem bezpieczeństwa, który platformy oferują swoim użytkownikom. Usługa MFA zwykle zmusza każdego, kto próbuje zalogować się na konto, do podania specjalnego klucza bezpieczeństwa lub tokenu, często dostarczanego w wiadomości tekstowej na znany i zaufany numer urządzenia mobilnego. To poważnie ogranicza prawdopodobieństwo brutalnego wymuszenia haseł przez złych aktorów lub wykorzystania wyłudzonych danych uwierzytelniających do przejęcia kont na dowolnej platformie, ponieważ wprowadzono dodatkowy krok wymagający dostępu do telefonu komórkowego użytkownika.

Nie oznacza to, że usługa MFA zapewnia 100% ochronę przed atakami, ponieważ znane są przypadki omijania niektórych implementacji usługi MFA. Mimo to jest to narzędzie, z którego należy korzystać zawsze, gdy jest dostępne, ponieważ znacznie obniża ryzyko związane z kontem na dowolnej platformie.