哦!可以在浏览器中绕过TikTok的多重身份验证

尽管围绕该应用程序在美国的未来出现了紧张局势,TikTok仍然表现强劲。但是,该应用程序在8月添加的一项强大的安全功能存在一个重大问题。如果您使用Web浏览器登录平台,则可以轻松地完全跳过Tiktok的多因素身份验证。

TikTok终于在今年早些时候宣布增加某种形式的两因素身份验证,这是一项很棒且急需的新功能。但是,事实证明,只有在手机上使用TikTok时,多因素身份验证才会启动。实际上,这意味着,如果不良行为者掌握了用户的登录凭据 ,他们只需通过浏览器登录就可以完全访问MFA步骤,从而可以访问其帐户。

TikTok简洁地说,他们打算在不久的将来扩展其MFA功能以覆盖Web浏览器的使用。

值得庆幸的是,即使假定的攻击设法通过浏览器MFA跳过漏洞接管了TikTok帐户,事情也没有看上去那么可怕。与移动版本相比,平台的浏览器版本中可用的Web仪表板功能有限。例如,不可能通过密码更改来完全接管帐户。这种访问和功能仅在移动应用程序中存在。

但是,不良行为者仍然可以使用受感染帐户通过该帐户发布视频剪辑,散布骗局或试图以其他方式危害用户。这些相对有限的选择并非没有后果,因为可能的大量帐户接管可用于组织井井有条的骗局和传播假新闻。

Web仪表板发现的另一个问题是,移动设备上的用户目前未收到有关其帐户正在浏览器上使用的任何形式的通知。希望将来会与针对浏览器的MFA修复一起解决此问题。

为什么要尽可能使用MFA

多因素身份验证已成为平台为用户提供的相对广泛的额外安全措施。 MFA通常会强迫试图登录帐户的任何人提供特殊的安全密钥或令牌,这些密钥或令牌通常通过文本传递给已知且受信任的移动设备号码。由于引入了一个额外的步骤,该步骤要求访问用户的移动电话,因此,这严重限制了不良行为者强行使用密码或使用伪造的凭证来接管任何平台上的帐户的可能性。

这并不意味着MFA提供100%的安全防御攻击,因为已经有已知的案例规避了MFA的某些实现。尽管如此,它还是应该始终可用的工具,因为它可以大大降低在任何给定平台上帐户的风险。

September 29, 2020

发表评论