哦!可以在瀏覽器中繞過TikTok的多重身份驗證
儘管圍繞該應用程序在美國的未來出現了緊張局勢,TikTok仍然表現強勁。但是,該應用程序在8月添加的一項強大的安全功能存在一個重大問題。如果您使用Web瀏覽器登錄平台,則可以輕鬆地完全跳過Tiktok的多因素身份驗證。
TikTok終於在今年早些時候宣布增加某種形式的兩因素身份驗證,這是一項很棒且急需的新功能。但是,事實證明,只有在手機上使用TikTok時,多因素身份驗證才會啟動。實際上,這意味著,如果不良行為者掌握了用戶的登錄憑據 ,則只需通過瀏覽器登錄即可完全訪問MFA步驟,從而可以訪問其帳戶。
TikTok簡潔地說,他們打算在不久的將來擴展其MFA功能以覆蓋Web瀏覽器的使用。
值得慶幸的是,即使假定的攻擊設法通過瀏覽器MFA跳過漏洞接管了TikTok帳戶,事情也沒有看上去那麼可怕。與移動版本相比,平台的瀏覽器版本中可用的Web儀表板功能有限。例如,不可能通過密碼更改來完全接管帳戶。這種訪問和功能僅在移動應用程序中存在。
但是,不良行為者仍然可以使用受感染帳戶通過該帳戶發布視頻剪輯,散佈騙局或試圖以其他方式危害用戶。這些相對有限的選擇並非沒有結果,因為可能會大量使用帳戶來進行組織良好的騙局並傳播假新聞。
Web儀表板發現的另一個問題是,移動設備上的用戶目前無法獲得有關其帳戶正在瀏覽器上使用的任何形式的通知。希望將來會與針對瀏覽器的MFA修復一起解決此問題。
為什麼要盡可能使用MFA
多因素身份驗證已成為平台為用戶提供的相對廣泛的額外安全措施。 MFA通常會強迫試圖登錄帳戶的任何人提供特殊的安全密鑰或令牌,這些密鑰或令牌通常通過文本傳遞給已知且受信任的移動設備號碼。由於引入了一個額外的步驟,該步驟要求訪問用戶的移動電話,因此,這嚴重限制了不良行為者強行使用密碼或使用偽造的憑證來接管任何平台上的帳戶的可能性。
這並不意味著MFA提供100%的安全防禦攻擊,因為已經有已知的案例規避了MFA的某些實現。儘管如此,它還是應該始終可用的工具,因為它可以大大降低在任何給定平台上帳戶的風險。