يُشتبه في قيام شركة نقل مجهولة بإدخال إعلانات في رسائل SMS الخاصة بالمصادقة الثنائية من Google.
يشتبه في قيام شركة اتصالات مجهولة الهوية في أستراليا بإدخال إعلانات في رسائل نصية قصيرة ثنائية العامل، وفقًا لكريس لاسي، مطور Action Launcher. يُظهر النص رمز التحقق من تسجيل الدخول إلى Google في تطبيق رسائل Google، والذي من المضحك أنه تم وضع علامة على النص كرسالة غير مرغوب فيها.
وهذا ممكن لأن الرسائل النصية القصيرة غير مشفرة، وبالتالي يستطيع مشغل شبكة الجوال قراءتها جميعًا. يضمن حقن الإعلانات في نصوص المصادقة الثنائية (2FA) أن يرى المستخدم النهائي بالفعل الإعلان، حيث من المفترض أنهم سيحتاجون إلى استخدام الرمز للوصول إلى أي خدمة يحاولون تجربتها لتسجيل الدخول إلى. على الرغم من أنها خطوة تافهة تمامًا، إلا أنها أصبحت ممكنة نظرًا لضعف حماية الرسائل النصية القصيرة. لقد شارك عدد من الموظفين في Google ليقولوا إن هذا أمر مؤكد لا تم إجراؤه بواسطة Google ومن المحتمل أن يكون هذا عمل أي شركة اتصالات يستخدمها Chris Lacy. توجه مارك ريشر، مدير إدارة المنتجات المتعلقة بالهوية وأمن المستخدم في Google، إلى تويتر ليقول إن "هذه ليست إعلانات Google ونحن لا تتغاضى عن هذه الممارسة." علاوة على ذلك، يقول إن Google "تعمل مع شركة الاتصالات اللاسلكية لفهم سبب حدوث ذلك والتأكد من عدم حدوثه مرة أخرى."
على الرغم من أن استخدام الرسائل النصية القصيرة للمصادقة الثنائية يعد غير آمن من الناحية الفنية، إلا أنه لا يهم بالنسبة لمعظم الأشخاص. إنه مستوى إضافي من الأمان يسهل الوصول إليه وسهل الاستخدام لمعظم الأشخاص، وهو أفضل من لا شيء. لن يتمكن معظم الأشخاص من استخدام المصادقة الثنائية المستندة إلى الأجهزة بسهولة، ولهذا السبب لا يزال استخدام المصادقة الثنائية المستندة إلى الرسائل القصيرة على نطاق واسع. على الرغم من وجود هجمات مبادلة بطاقة SIM، إلا أنها بالنسبة لمعظم الأشخاص ليست شيئًا يجب عليهم القلق بشأنه على الإطلاق. ومع ذلك، فمن المثير للإعجاب أن تطبيق رسائل Google لا يزال قادرًا على اكتشاف أن الرسالة كانت غير مرغوب فيها، على الرغم من أنها تم إرسالها من رقم هاتف Google.
لقد تواصلنا مع Google للتعليق، حيث تم التلاعب برسالتهم ذات العاملين، وسنقوم بتحديث هذه المقالة إذا تلقينا ردًا. يختار Chris Lacy عدم ذكر اسم شركة الاتصالات "لأسباب تتعلق بالخصوصية"، ولكن من المهم ملاحظة أن هذا قد يحدث على أي شركة اتصالات إذا كنت تستخدم الرسائل القصيرة. بمجرد اعتماد RCS على نطاق واسع و التشفير الشامل للرسائل النصية أصبح هذا هو القاعدة، فلن يكون هذا ممكنًا لأن شركات الاتصالات لن تكون قادرة على تحديد الرسائل التي تحتوي على رموز ثنائية العامل وتلك التي لا تحتوي عليها.