En uidentificeret operatør er mistænkt for at injicere reklamer i to-faktor-godkendelses-sms-beskeder fra Google.
En uidentificeret operatør i Australien er mistænkt for at injicere reklamer i to-faktor SMS-beskeder, ifølge Chris Lacy, udvikleren af Action Launcher. Teksten viser en Google-loginbekræftelseskode i Google Messages-appen, som sjovt nok endda markerede teksten som spam.
Dette er muligt, fordi SMS-beskeder er ukrypterede, og derfor kan din udbyder læse dem alle. Indsprøjtning af annoncer i 2FA-tekster sikrer, at slutbrugeren rent faktisk vil se annonce, da det antages, at de skal bruge koden for at få adgang til den tjeneste, de prøver at logge ind på. Selvom det absolut er et skumt træk, er det gjort muligt på grund af, hvor dårligt beskyttet SMS er. En række medarbejdere fra Google har sagt, at det helt sikkert er ikke udført af Google, og at det sandsynligvis er værket af den operatør, Chris Lacy bruger. Mark Risher, Director of Product Management on Identity and User Security hos Google, tog til Twitter for at sige, at "disse er ikke Google-annoncer, og det gør vi ikke tolerere denne praksis." Desuden siger han, at Google "arbejder med den trådløse operatør for at forstå, hvorfor dette skete og sikre, at det ikke sker en gang til."
Selvom det er teknisk usikkert at bruge SMS til to-faktor-godkendelse, er det for de fleste mennesker virkelig ligegyldigt. Det er et ekstra sikkerhedsniveau, der er let tilgængeligt og nemt at bruge for de fleste, og det er bedre end ingenting. De fleste mennesker vil ikke bekvemt kunne bruge hardware-baseret to-faktor-autentificering, hvorfor SMS-baseret 2FA stadig er så udbredt. Mens SIM-bytteangreb eksisterer, er de for de fleste mennesker ikke noget, de nogensinde behøver at bekymre sig om. Om noget er det dog imponerende, at Google Messages-appen stadig formåede at opfange, at beskeden var spam, selvom den blev sendt fra et Google-telefonnummer.
Vi har kontaktet Google for at få en kommentar, da det var deres to-faktor besked, der blev pillet ved, og vi vil opdatere denne artikel, hvis vi får et svar. Chris Lacy vælger ikke at navngive operatøren "af privatlivets fred", men det er vigtigt at bemærke, at dette kan ske på enhver udbyder, hvis du bruger SMS. Når RCS er bredt vedtaget og ende-til-ende-kryptering til tekstbeskeder bliver normen, vil dette ikke længere være muligt, da transportører ikke vil være i stand til at bestemme, hvilke beskeder der indeholder tofaktorkoder, og hvilke der ikke gør.