Неидентифициран оператор е заподозрян в инжектиране на реклами в SMS съобщения с двуфакторно удостоверяване от Google.
Неидентифициран оператор в Австралия е заподозрян в инжектиране на реклами в двуфакторни SMS съобщения, според Крис Лейси, разработчик на Action Launcher. Текстът показва код за потвърждение на влизане в Google в приложението Google Messages, което, колкото и да е смешно, дори маркира текста като спам.
Това е възможно, защото SMS съобщенията са некриптирани и следователно вашият оператор може да ги прочете всички. Инжектирането на реклами в 2FA текстове гарантира, че крайният потребител действително ще види реклама, тъй като се предполага, че ще трябва да използват кода за достъп до каквато и да е услуга, която опитват за да влезете в. Въпреки че това е абсолютно гнусен ход, той стана възможен поради това колко зле защитени са SMS. Редица служители от Google се включиха, за да кажат, че това определено е така не направено от Google и че вероятно е дело на оператора, който Крис Лейси използва. Марк Ришър, директор продуктов мениджмънт за идентичност и сигурност на потребителите в Google, се обърна към Twitter, за да каже, че „това не са реклами на Google и ние не оправдавам тази практика.“ Освен това той казва, че Google „работи с безжичния оператор, за да разбере защо това се е случило и да гарантира, че няма да се случи отново."
Докато използването на SMS за двуфакторно удостоверяване е технически несигурно, за повечето хора това наистина няма значение. Това е допълнително ниво на сигурност, което е лесно достъпно и лесно за използване от повечето хора и е по-добро от нищо. Повечето хора няма да могат удобно да използват хардуерно базирано двуфакторно удостоверяване, поради което базираното на SMS 2FA все още се използва толкова широко. Въпреки че съществуват атаки за размяна на SIM карти, за повечето хора те не са нещо, за което някога ще трябва да се тревожат. Ако не друго обаче, впечатляващо е, че приложението Google Messages все пак успя да установи, че съобщението е спам, въпреки че е изпратено от телефонен номер на Google.
Свързахме се с Google за коментар, тъй като тяхното двуфакторно съобщение беше подправено и ще актуализираме тази статия, ако получим отговор. Крис Лейси избира да не назовава оператора „от съображения за поверителност“, но е важно да се отбележи, че това може да се случи на всеки оператор, ако използвате SMS. След като RCS е широко възприето и криптиране от край до край за текстови съобщения стане норма, това вече няма да е възможно, тъй като операторите няма да могат да определят кои съобщения съдържат двуфакторни кодове и кои не.