ええとああ！ TikTokの多要素認証はブラウザでバイパスできます

TikTokは、米国でのアプリの将来を取り巻く緊張にもかかわらず、依然として力強い状態にあります。ただし、8月にアプリが追加した1つの優れたセキュリティ機能には重大な問題があります。 Webブラウザーを使用してプラットフォームにログインすると、Tiktokのマルチファクター認証を簡単に完全にスキップできます。

TikTokがついに何らかの形の二要素認証を追加したことは、今年初めに非常に必要とされていた新機能として予告されました。ただし、多要素認証は、TikTokが携帯電話で使用されている場合にのみ開始されます。つまり、悪意のある攻撃者がユーザーのログイン資格情報を入手した場合、ブラウザからログインするだけでアカウントにアクセスでき、MFAの手順を完全に回避できます。

TikTokは、近い将来、Webブラウザの使用をカバーするためにMFA機能を拡張する予定であると簡潔に述べました。

ありがたいことに、想定される攻撃がブラウザのMFAスキップエクスプロイトを介してTikTokアカウントを乗っ取ることができたとしても、物事は見た目ほど怖くはありません。プラットフォームのブラウザバージョンで利用可能なWebダッシュボードは、モバイルバージョンと比較して機能が制限されています。たとえば、パスワードの変更による完全なアカウントの乗っ取りは不可能です。この種のアクセスと機能は、モバイルアプリにのみ存在します。

ただし、悪意のある攻撃者は、侵害されたアカウントを使用してビデオクリップを投稿したり、詐欺を広めたり、他の方法でユーザーを侵害しようとしたりする可能性があります。これらの比較的限られたオプションは、結果がないわけではありません。アカウントの大量の乗っ取りの可能性を利用して、よく組織された詐欺を実行し、偽のニュースを広めることができるからです。

Webダッシュボードで発見されたもう1つの問題は、モバイルのユーザーが、現在ブラウザーでアカウントが使用されているという通知を受け取らないことです。うまくいけば、これはブラウザのMFA修正とともに将来的に対処されるでしょう。

できる限りMFAを使用する必要がある理由

多要素認証は、プラットフォームがユーザーに提供する比較的広範囲にわたる追加のセキュリティ対策になっています。 MFAは通常、アカウントにログインしようとするすべての人に、特別なセキュリティキーまたはトークンを提供するように強制します。多くの場合、既知の信頼できるモバイルデバイス番号にテキストで配信されます。これにより、ユーザーの携帯電話へのアクセスを必要とする追加の手順が導入されるため、悪意のある攻撃者がパスワードをブルートフォースしたり、フィッシングされた資格情報を使用して任意のプラットフォームのアカウントを乗っ取ったりする可能性が大幅に制限されます。

これは、MFAの特定の実装を回避することが知られているため、MFAが攻撃に対して100％のセキュリティを提供することを意味するものではありません。それにもかかわらず、特定のプラットフォームでのアカウントのリスクを大幅に低下させるため、利用可能な場合は常に使用する必要があるツールです。