Tundmatut operaatorit kahtlustatakse Google'i kahefaktorilise autentimisega SMS-idesse reklaamide sisestamises.
Action Launcheri arendaja Chris Lacy sõnul kahtlustatakse Austraalias asuvat tundmatut vedajat kahefaktorilistesse SMS-sõnumitesse reklaamide sisestamises. Tekst näitab Google'i sisselogimise kinnituskoodi Google Messages rakenduses, mis naljakalt märgistas teksti isegi rämpspostiks.
See on võimalik, kuna SMS-sõnumid on krüptimata ja seetõttu saab teie operaator neid kõiki lugeda. Reklaamide sisestamine 2FA-tekstidesse tagab, et lõppkasutaja näeb seda reklaam, kuna eeldatakse, et nad peavad kasutama koodi, et pääseda juurde mis tahes teenusele, mida nad proovivad sisse logida. Kuigi see on täiesti räpane samm, sai see võimalikuks seetõttu, et SMS on halvasti kaitstud. Mitmed Google'i töötajad on öelnud, et see on kindlasti nii mitte teinud Google ja et see on tõenäoliselt mis tahes operaatori töö, mida Chris Lacy kasutab. Google'i identiteedi ja kasutajaturbe tootehalduse direktor Mark Risher ütles Twitteris, et "need pole Google'i reklaamid ja me ei tee seda Ta ütleb, et Google teeb koostööd traadita side operaatoriga, et mõista, miks see juhtus, ja tagada, et seda ei juhtuks jälle."
Kuigi SMS-i kasutamine kahefaktorilise autentimise jaoks on tehniliselt ebakindel, pole enamiku inimeste jaoks see oluline. See on täiendav turvatase, mis on enamiku inimeste jaoks hõlpsasti juurdepääsetav ja lihtne kasutada ning see on parem kui mitte midagi. Enamik inimesi ei saa mugavalt kasutada riistvarapõhist kahefaktorilist autentimist, mistõttu on SMS-põhine 2FA endiselt nii laialt kasutusel. Kuigi SIM-i vahetamise rünnakud on olemas, pole enamiku inimeste jaoks midagi, mille pärast nad peaksid kunagi muretsema. Kui midagi, siis on muljetavaldav, et Google'i sõnumite rakendus suutis siiski tuvastada, et sõnum oli rämpspost, kuigi see saadeti Google'i telefoninumbrilt.
Pöördusime Google'i poole kommentaaride saamiseks, kuna see oli nende kahefaktoriline sõnum, mida muudeti, ja kui saame vastuse, värskendame seda artiklit. Chris Lacy otsustab "privaatsuse huvides" operaatorit mitte nimetada, kuid on oluline arvestada, et see võib juhtuda mis tahes operaatori puhul, kui kasutate SMS-i. Kui RCS on laialdaselt kasutusele võetud ja tekstsõnumite täielik krüpteerimine muutub normiks, ei ole see enam võimalik, kuna operaatorid ei saa kindlaks teha, millised sõnumid sisaldavad kahefaktorilisi koode ja millised mitte.