Opérateur soupçonné d'avoir injecté de la publicité dans des SMS à deux facteurs

Brève XdaNov 12, 2023
click fraud protection

Un opérateur non identifié est soupçonné d'avoir injecté des publicités dans des messages SMS d'authentification à deux facteurs de Google.

Un opérateur non identifié en Australie est soupçonné d'avoir injecté des publicités dans des messages SMS à deux facteurs, selon Chris Lacy, développeur d'Action Launcher. Le texte montre un code de vérification de connexion Google dans l'application Google Messages, qui, curieusement, a même signalé le texte comme spam.

Cela est possible car les messages SMS ne sont pas cryptés et, par conséquent, votre opérateur peut tous les lire. L'injection de publicités dans les textes 2FA garantit que l'utilisateur final verra réellement le publicité, car on suppose qu'ils devront utiliser le code pour accéder au service qu'ils essaient pour vous connecter. Bien qu’il s’agisse d’une démarche absolument dégueulasse, elle est rendue possible en raison de la mauvaise protection des SMS. Un certain nombre d'employés de Google sont intervenus pour dire que c'était définitivement

pas effectué par Google et qu'il s'agit probablement du travail de l'opérateur utilisé par Chris Lacy. Mark Risher, directeur de la gestion des produits sur l'identité et la sécurité des utilisateurs chez Google, a déclaré sur Twitter que "ce ne sont pas des publicités Google et nous ne le faisons pas". tolérer cette pratique. » En outre, il dit que Google « travaille avec l'opérateur de téléphonie mobile pour comprendre pourquoi cela s'est produit et s'assurer que cela ne se produise pas ». encore."

Même si l’utilisation de SMS pour l’authentification à deux facteurs n’est pas techniquement sécurisée, pour la plupart des gens, cela n’a vraiment pas d’importance. Il s'agit d'un niveau de sécurité supplémentaire, facilement accessible et simple à utiliser pour la plupart des gens, et c'est mieux que rien. La plupart des gens ne pourront pas utiliser facilement l’authentification matérielle à deux facteurs, c’est pourquoi la 2FA basée sur SMS est encore si largement utilisée. Bien que les attaques par échange de carte SIM existent, pour la plupart des gens, elles n'auront jamais à s'inquiéter. Au contraire, il est impressionnant que l'application Google Messages ait quand même réussi à détecter que le message était du spam, même s'il a été envoyé à partir d'un numéro de téléphone Google.

Nous avons contacté Google pour obtenir des commentaires car c'est son message à deux facteurs qui a été falsifié, et nous mettrons à jour cet article si nous obtenons une réponse. Chris Lacy choisit de ne pas nommer l'opérateur "pour des raisons de confidentialité", mais il est important de noter que cela peut se produire sur n'importe quel opérateur si vous utilisez les SMS. Une fois que le RCS sera largement adopté et cryptage de bout en bout pour les messages texte devient la norme, cela ne sera plus possible car les opérateurs ne seront pas en mesure de déterminer quels messages contiennent des codes à deux facteurs et lesquels n'en contiennent pas.