Se sospecha que un operador no identificado inserta anuncios en mensajes SMS de autenticación de dos factores de Google.
Se sospecha que un operador no identificado en Australia inyecta anuncios en mensajes SMS de dos factores, según Chris Lacy, desarrollador de Action Launcher. El texto muestra un código de verificación de inicio de sesión de Google en la aplicación Mensajes de Google, que, curiosamente, incluso marcó el texto como spam.
Esto es posible porque los mensajes SMS no están cifrados y, por lo tanto, su operador puede leerlos todos. Inyectar anuncios en textos 2FA garantiza que el usuario final realmente vea el publicidad, ya que se supone que necesitarán usar el código para acceder a cualquier servicio que estén probando para iniciar sesión. Si bien es un movimiento absolutamente asqueroso, es posible gracias a lo mal protegidos que están los SMS. Varios empleados de Google han intervenido para decir que esto es definitivamente no hecho por Google y que probablemente sea obra de cualquier operador que esté utilizando Chris Lacy. Mark Risher, director de gestión de productos sobre identidad y seguridad del usuario de Google, recurrió a Twitter para decir que "estos no son anuncios de Google y no aprobar esta práctica". Además, dice que Google está "trabajando con el proveedor de servicios inalámbricos para comprender por qué sucedió esto y garantizar que no suceda". de nuevo."
Si bien el uso de SMS para la autenticación de dos factores es técnicamente inseguro, para la mayoría de las personas realmente no importa. Es un nivel adicional de seguridad al que la mayoría de las personas puede acceder fácilmente y es fácil de usar, y es mejor que nada. La mayoría de las personas no podrán utilizar cómodamente la autenticación de dos factores basada en hardware, razón por la cual la 2FA basada en SMS sigue siendo tan utilizada. Si bien existen ataques de intercambio de SIM, para la mayoría de las personas, no son algo de lo que deban preocuparse. Sin embargo, en todo caso, es impresionante que la aplicación Google Messages haya logrado detectar que el mensaje era spam, a pesar de que fue enviado desde un número de teléfono de Google.
Nos comunicamos con Google para hacer comentarios, ya que fue su mensaje de dos factores el que fue manipulado, y actualizaremos este artículo si recibimos una respuesta. Chris Lacy elige no nombrar al operador "por razones de privacidad", pero es importante tener en cuenta que esto podría suceder en cualquier operador si usa SMS. Una vez que RCS se adopte ampliamente y cifrado de extremo a extremo para mensajes de texto se convierte en la norma, esto ya no será posible ya que los operadores no podrán determinar qué mensajes contienen códigos de dos factores y cuáles no.