Tuntemattoman operaattorin epäillään syöttäneen mainoksia Googlen kaksivaiheisiin todennusteksteihin.
Action Launcherin kehittäjän Chris Lacyn mukaan Australiassa tuntemattoman operaattorin epäillään ruiskuttaneen mainoksia kaksivaiheisiin tekstiviesteihin. Tekstissä näkyy Google-sisäänkirjautumisen vahvistuskoodi Google Messages -sovelluksessa, joka hauskasti jopa merkitsi tekstin roskapostiksi.
Tämä on mahdollista, koska tekstiviestit ovat salaamattomia, ja siksi operaattorisi voi lukea ne kaikki. Mainosten lisääminen 2FA-teksteihin varmistaa, että loppukäyttäjä todella näkee sen mainoksessa, koska oletetaan, että heidän on käytettävä koodia päästäkseen mihin tahansa palveluun, jota he yrittävät kirjautuaksesi sisään. Vaikka se on täysin töykeä liike, se on mahdollista, koska tekstiviestit ovat huonosti suojattuja. Useat Googlen työntekijät ovat sanoneet, että tämä on ehdottomasti ei Googlen tekemä ja se on todennäköisesti minkä tahansa Chris Lacyn käyttämän operaattorin työ. Mark Risher, Googlen identiteetin ja käyttäjäturvallisuuden tuotehallinnan johtaja, sanoi Twitterissä, että "nämä eivät ole Google-mainoksia, emmekä me suvaitse tätä käytäntöä." Lisäksi hän sanoo, että Google "työskentelee langattoman operaattorin kanssa ymmärtääkseen miksi näin tapahtui ja varmistaakseen, ettei niin tapahdu uudelleen."
Vaikka tekstiviestien käyttäminen kaksivaiheiseen todentamiseen on teknisesti epävarmaa, useimmille ihmisille sillä ei todellakaan ole väliä. Se on ylimääräinen suojaustaso, joka on helposti saavutettavissa ja helppokäyttöinen useimmille ihmisille, ja se on parempi kuin ei mitään. Useimmat ihmiset eivät pysty käyttämään kätevästi laitteistopohjaista kaksivaiheista todennusta, minkä vuoksi SMS-pohjainen 2FA on edelleen niin laajalti käytössä. Vaikka SIM-swap-hyökkäyksiä on olemassa, useimmille ihmisille niistä ei tarvitse huolehtia. On kuitenkin vaikuttavaa, että Google Messages -sovellus onnistui silti havaitsemaan viestin olevan roskapostia, vaikka se lähetettiin Google-puhelinnumerosta.
Olemme ottaneet yhteyttä Googleen saadaksemme kommentteja, koska heidän kaksivaiheista viestiään on peukaloitu, ja päivitämme tämän artikkelin, jos saamme vastauksen. Chris Lacy päättää olla nimeämättä operaattoria "yksityisyyden vuoksi", mutta on tärkeää huomata, että näin voi tapahtua millä tahansa operaattorilla, jos käytät tekstiviestejä. Kun RCS on laajalti hyväksytty ja päästä päähän -salaus tekstiviesteille tulee normiksi, tämä ei ole enää mahdollista, koska operaattorit eivät pysty määrittämään, mitkä viestit sisältävät kaksitekijäkoodeja ja mitkä eivät.