Ein unbekannter Anbieter steht im Verdacht, Werbung in SMS-Nachrichten mit Zwei-Faktor-Authentifizierung von Google eingefügt zu haben.
Laut Chris Lacy, dem Entwickler von Action Launcher, steht ein unbekannter Mobilfunkanbieter in Australien im Verdacht, Werbung in Zwei-Faktor-SMS-Nachrichten eingefügt zu haben. Der Text zeigt einen Google-Anmeldebestätigungscode in der Google Messages-App, der den Text lustigerweise sogar als Spam markierte.
Dies ist möglich, weil SMS-Nachrichten unverschlüsselt sind und Ihr Mobilfunkanbieter sie daher alle lesen kann. Durch das Einfügen von Werbung in 2FA-Texte wird sichergestellt, dass der Endbenutzer die Texte tatsächlich sieht Werbung, da davon ausgegangen wird, dass sie den Code verwenden müssen, um auf den gewünschten Dienst zuzugreifen um sich anzumelden. Auch wenn es ein absoluter Betrug ist, ist es doch möglich, weil SMS so schlecht geschützt sind. Mehrere Mitarbeiter von Google haben zugestimmt, dass dies definitiv der Fall sei nicht von Google durchgeführt wurde und dass es sich wahrscheinlich um die Arbeit des von Chris Lacy verwendeten Mobilfunkanbieters handelt. Mark Risher, Director of Product Management on Identity and User Security bei Google, sagte auf Twitter: „Dies sind keine Google-Anzeigen und das tun wir auch nicht.“ Wir dulden diese Praxis.“ Darüber hinaus sagt er, dass Google „mit dem Mobilfunkanbieter zusammenarbeitet, um zu verstehen, warum dies passiert ist, und um sicherzustellen, dass es nicht passiert.“ wieder."
Obwohl die Verwendung von SMS zur Zwei-Faktor-Authentifizierung technisch unsicher ist, spielt sie für die meisten Menschen eigentlich keine Rolle. Es handelt sich um eine zusätzliche Sicherheitsstufe, die für die meisten Menschen leicht zugänglich und einfach zu verwenden ist und besser als nichts ist. Die meisten Menschen werden die hardwarebasierte Zwei-Faktor-Authentifizierung nicht bequem nutzen können, weshalb SMS-basierte 2FA immer noch so weit verbreitet ist. Obwohl es SIM-Swap-Angriffe gibt, sind sie für die meisten Menschen kein Grund zur Sorge. Beeindruckend ist jedoch, dass die Google Messages-App dennoch erkennen konnte, dass es sich bei der Nachricht um Spam handelte, obwohl sie von einer Google-Telefonnummer gesendet wurde.
Wir haben Google um einen Kommentar gebeten, da die Zwei-Faktor-Nachricht manipuliert wurde, und wir werden diesen Artikel aktualisieren, wenn wir eine Antwort erhalten. Chris Lacy möchte den Anbieter „aus Datenschutzgründen“ nicht nennen. Es ist jedoch wichtig zu beachten, dass dies bei jedem Anbieter passieren kann, wenn Sie SMS verwenden. Sobald RCS weit verbreitet ist und Ende-zu-Ende-Verschlüsselung für Textnachrichten Wird dies zur Norm, wird dies nicht mehr möglich sein, da die Netzbetreiber nicht mehr feststellen können, welche Nachrichten Zwei-Faktor-Codes enthalten und welche nicht.