Přepravce podezřelý z vkládání reklam do dvoufaktorových SMS zpráv

Neznámý přepravce je podezřelý z vkládání reklam do dvoufaktorových ověřovacích SMS zpráv od společnosti Google.

Podle Chrise Lacyho, vývojáře Action Launcher, je neznámý dopravce v Austrálii podezřelý z vkládání reklam do dvoufaktorových SMS zpráv. V textu je uveden ověřovací kód pro přihlášení do Google v aplikaci Zprávy Google, která kupodivu dokonce označila text jako spam.

To je možné, protože zprávy SMS jsou nešifrované, a proto je váš operátor může číst všechny. Vkládání reklam do textů 2FA zajišťuje, že koncový uživatel skutečně uvidí reklamu, protože se předpokládá, že budou muset použít kód pro přístup k jakékoli službě, kterou zkoušejí přihlásit se. I když je to naprosto ostudný krok, je to možné díky tomu, jak špatně jsou SMS chráněny. Řada zaměstnanců společnosti Google se ozvala a řekla, že to tak rozhodně je ne provedl Google a že je to pravděpodobně práce jakéhokoli operátora, který Chris Lacy používá. Mark Risher, ředitel produktového managementu pro identitu a uživatelskou bezpečnost ve společnosti Google, na Twitteru uvedl, že „toto nejsou reklamy Google a my ne tolerujte tuto praxi.“ Dále říká, že Google „spolupracuje s bezdrátovým operátorem, aby pochopil, proč se to stalo, a zajistil, aby se to nestalo znovu."

Zatímco použití SMS pro dvoufaktorovou autentizaci je technicky nejisté, pro většinu lidí je to vlastně jedno. Je to další úroveň zabezpečení, která je snadno dostupná a snadno použitelná pro většinu lidí, a je to lepší než nic. Většina lidí nebude moci pohodlně používat dvoufaktorovou autentizaci založenou na hardwaru, a proto je 2FA na bázi SMS stále tak široce používána. I když útoky na výměnu SIM karty existují, pro většinu lidí nejsou něčím, o co by se někdy museli starat. Nicméně je působivé, že aplikace Zprávy Google stále dokázala zachytit, že zpráva byla spam, i když byla odeslána z telefonního čísla Google.

Požádali jsme Google o komentář, protože to byla jejich dvoufaktorová zpráva, která byla zmanipulována, a pokud dostaneme odpověď, aktualizujeme tento článek. Chris Lacy se rozhodl nejmenovat operátora „z důvodů ochrany soukromí“, ale je důležité si uvědomit, že se to může stát u jakéhokoli operátora, pokud používáte SMS. Jakmile bude RCS široce přijat a end-to-end šifrování pro textové zprávy se stane normou, to již nebude možné, protože dopravci nebudou schopni určit, které zprávy obsahují dvoufaktorové kódy a které ne.