Ой-ой! Многофакторную аутентификацию TikTok можно обойти в браузерах

TikTok по-прежнему набирает обороты, несмотря на напряженность вокруг будущего приложения в США. Однако есть серьезная проблема с одной отличной функцией безопасности, которую приложение добавило в августе. Многофакторную аутентификацию Tiktok можно легко полностью пропустить, если вы войдете на платформу с помощью веб-браузера.

В начале этого года TikTok, наконец, добавив некоторую форму двухфакторной аутентификации, была объявлена отличной и столь необходимой новой функцией. Однако оказывается, что многофакторная аутентификация срабатывает только в том случае, если TikTok используется на мобильном телефоне. Фактически это означает, что если злоумышленники завладели учетными данными пользователя , они могут получить доступ к своей учетной записи, просто войдя в систему через браузер, полностью избегая шага MFA.

В TikTok лаконично заявили, что они намерены в ближайшем будущем расширить функциональность MFA, чтобы охватить использование веб-браузера.

К счастью, даже если предполагаемой атаке удалось захватить учетную запись TikTok через эксплойт пропуска MFA в браузере, все не так страшно, как кажется. Веб-панель, доступная в браузерной версии платформы, имеет ограниченную функциональность по сравнению с мобильной версией. Например, полный захват учетной записи путем смены пароля невозможен. Такой доступ и функциональность есть только в мобильном приложении.

Тем не менее, злоумышленники по-прежнему могут использовать скомпрометированную учетную запись для размещения через нее видеоклипов, распространения мошенничества или попыток скомпрометировать пользователя каким-либо другим способом. Эти относительно ограниченные возможности не обходятся без последствий, поскольку возможный массовый захват учетных записей может использоваться для проведения хорошо организованного мошенничества и распространения фейковых новостей.

Еще одна проблема, которая была обнаружена с веб-панелью, заключается в том, что пользователь на мобильном телефоне не получает никакого уведомления о том, что его учетная запись используется в браузере в данный момент. Надеюсь, это будет исправлено в будущем вместе с исправлением MFA для браузеров.

Почему вы должны использовать MFA всякий раз, когда можете

Многофакторная аутентификация стала относительно широко распространенной дополнительной мерой безопасности, которую платформы предлагают своим пользователям. MFA обычно вынуждает любого, кто пытается войти в учетную запись, предоставить специальный ключ безопасности или токен, который часто доставляется в виде текста на известный и надежный номер мобильного устройства. Это серьезно ограничивает вероятность того, что злоумышленники подберут пароли или используют фишинговые учетные данные для захвата учетных записей на любой платформе, поскольку вводится дополнительный шаг, требующий доступа к мобильному телефону пользователя.

Это не означает, что MFA предлагает 100% защиту от атак, поскольку известны случаи обхода некоторых реализаций MFA. Несмотря на этот факт, это инструмент, который всегда следует использовать, когда он доступен, поскольку он значительно снижает риск для вашей учетной записи на любой конкретной платформе.