वाहक पर दो-कारक एसएमएस संदेशों में विज्ञापन डालने का संदेह है

Xda समाचार संक्षिप्तNov 12, 2023
click fraud protection

एक अज्ञात वाहक पर Google के दो-कारक प्रमाणीकरण एसएमएस संदेशों में विज्ञापन डालने का संदेह है।

एक्शन लॉन्चर के डेवलपर क्रिस लेसी के अनुसार, ऑस्ट्रेलिया में एक अज्ञात वाहक पर दो-कारक एसएमएस संदेशों में विज्ञापन डालने का संदेह है। टेक्स्ट Google Messages ऐप में एक Google साइन-इन सत्यापन कोड दिखाता है, जो मज़ेदार है, यहाँ तक कि टेक्स्ट को स्पैम के रूप में भी चिह्नित किया गया है।

यह संभव है क्योंकि एसएमएस संदेश अनएन्क्रिप्टेड हैं, और इसलिए, आपका वाहक उन सभी को पढ़ सकता है। 2FA टेक्स्ट में विज्ञापन डालने से यह सुनिश्चित होता है कि अंतिम उपयोगकर्ता वास्तव में इसे देखेगा विज्ञापन, जैसा कि माना जाता है कि वे जिस भी सेवा का प्रयास कर रहे हैं उसे एक्सेस करने के लिए उन्हें कोड का उपयोग करने की आवश्यकता होगी में लॉग इन करने के लिए. हालाँकि यह पूरी तरह से एक घटिया कदम है, यह एसएमएस की खराब सुरक्षा के कारण संभव हुआ है। Google के कई कर्मचारियों ने कहा है कि यह निश्चित रूप से है नहीं Google द्वारा किया गया है और यह संभवतः क्रिस लेसी द्वारा उपयोग किए जा रहे किसी भी वाहक का काम है। Google में पहचान और उपयोगकर्ता सुरक्षा पर उत्पाद प्रबंधन के निदेशक मार्क रिशर ने ट्विटर पर कहा कि "ये Google विज्ञापन नहीं हैं और हम ऐसा नहीं करते हैं।" इस प्रथा को माफ करें।" इसके अलावा, उनका कहना है कि Google "यह समझने के लिए वायरलेस कैरियर के साथ काम कर रहा है कि ऐसा क्यों हुआ और यह सुनिश्चित किया जाए कि ऐसा न हो दोबारा।"

जबकि दो-कारक प्रमाणीकरण के लिए एसएमएस का उपयोग करना तकनीकी रूप से असुरक्षित है, अधिकांश लोगों के लिए, इससे वास्तव में कोई फर्क नहीं पड़ता। यह सुरक्षा का एक अतिरिक्त स्तर है जो अधिकांश लोगों के लिए आसानी से सुलभ और उपयोग में आसान है, और यह कुछ भी न होने से बेहतर है। अधिकांश लोग हार्डवेयर-आधारित दो-कारक प्रमाणीकरण का आसानी से उपयोग नहीं कर पाएंगे, यही कारण है कि एसएमएस-आधारित 2FA अभी भी इतने व्यापक रूप से उपयोग किया जाता है। जबकि सिम स्वैप हमले मौजूद हैं, अधिकांश लोगों के लिए, वे ऐसी कोई चीज़ नहीं हैं जिसके बारे में उन्हें कभी चिंता करने की आवश्यकता होगी। हालाँकि, अगर कुछ भी हो, तो यह प्रभावशाली है कि Google संदेश ऐप अभी भी यह पता लगाने में कामयाब रहा कि संदेश स्पैम था, भले ही यह Google फ़ोन नंबर से भेजा गया था।

हमने टिप्पणी के लिए Google से संपर्क किया है क्योंकि यह उनका दो-कारक संदेश था जिसके साथ छेड़छाड़ की गई थी, और यदि हमें कोई प्रतिक्रिया मिलती है तो हम इस लेख को अपडेट करेंगे। क्रिस लेसी "गोपनीयता कारणों से" वाहक का नाम नहीं लेने का चुनाव कर रहे हैं, लेकिन यह ध्यान रखना महत्वपूर्ण है कि यदि आप एसएमएस का उपयोग कर रहे हैं तो यह किसी भी वाहक पर हो सकता है। एक बार आरसीएस को व्यापक रूप से अपनाया गया और टेक्स्ट संदेशों के लिए एंड-टू-एंड एन्क्रिप्शन आदर्श बन जाने पर, यह अब संभव नहीं होगा क्योंकि वाहक यह निर्धारित करने में सक्षम नहीं होंगे कि किस संदेश में दो-कारक कोड हैं और कौन से नहीं।