Hoppsan! TikToks multifaktorautentisering kan förbikopplas i webbläsare

TikTok går fortfarande starkt trots spänningen kring appens framtid i USA. Det finns emellertid en betydande fråga med en fantastisk säkerhetsfunktion som appen lade till i augusti. Tiktoks multifaktorautentisering kan enkelt hoppas över om du loggar in på plattformen med en webbläsare.

TikTok lade äntligen till någon form av tvåfaktorautentisering var en stor och välbehövlig ny funktion tidigare i år. Det visar sig dock att multifaktorautentisering bara börjar om TikTok används på en mobiltelefon. I själva verket betyder detta att om dåliga skådespelare fick tag i användarens inloggningsuppgifter kan de få tillgång till sitt konto genom att helt enkelt logga in via en webbläsare och helt undvika MFA-steget.

TikTok uppgav tert att de tänker utöka sin MFA-funktionalitet för att täcka webbläsaranvändning inom en snar framtid.

Tack och lov, även om en antagen attack lyckades ta över ett TikTok-konto via webbläsarens MFA-hopputnyttjande, är saker inte så läskiga som de ser ut. Webbredan som finns i webbläsarversionen av plattformen har begränsad funktionalitet jämfört med mobilversionen. Det går till exempel inte med fullständig kontoövertagning genom lösenordsändring. Denna typ av åtkomst och funktionalitet finns bara i mobilappen.

De dåliga skådespelarna kan dock fortfarande använda det komprometterade kontot för att lägga upp videoklipp genom det, sprida bedrägerier eller försöka kompromissa med användaren på något annat sätt. Dessa relativt begränsade alternativ är inte utan konsekvenser, eftersom en möjlig massöverföring av konton kan användas för att köra välorganiserade bedrägerier och sprida falska nyheter.

En annan fråga som upptäcktes med webbinstrumentpanelen är att en användare på mobilen inte får någon form av avisering om att deras konto används i en webbläsare just nu. Förhoppningsvis kommer detta att tas upp i framtiden tillsammans med MFA-fixen för webbläsare.

Varför ska du använda MFA när du kan

Multifaktorautentisering har blivit en relativt utbredd extra säkerhetsåtgärd som plattformar erbjuder sina användare. MFA tvingar vanligtvis alla som försöker logga in på ett konto för att tillhandahålla en speciell säkerhetsnyckel eller token, som ofta levereras via text till ett känt och pålitligt mobilenhetsnummer. Detta begränsar allvarligt sannolikheten för att dåliga skådespelare tvingar lösenord eller använder utfiskade referenser för att ta över konton på vilken plattform som helst, eftersom ett extra steg införs som kräver åtkomst till användarens mobiltelefon.

Detta betyder inte att MFA erbjuder 100% säkerhet mot attacker, eftersom det har varit kända fall att kringgå vissa implementeringar av MFA. Trots det faktum är det ett verktyg som alltid ska användas när det är tillgängligt eftersom det avsevärt sänker risken för ditt konto på en viss plattform.