Sumnja se da je neidentificirani prijevoznik umetnuo oglase u Googleove SMS poruke s dvostrukom autentifikacijom.
Neidentificirani operater u Australiji osumnjičen je za ubacivanje reklama u dvostruke SMS poruke, prema Chrisu Lacyju, programeru Action Launchera. Tekst prikazuje Googleov kod za potvrdu prijave u aplikaciji Google Messages, koji je, smiješno, čak označio tekst kao neželjenu poštu.
To je moguće jer su SMS poruke nekriptirane i stoga ih vaš operater može sve pročitati. Ubacivanje oglasa u 2FA tekstove osigurava da će krajnji korisnik zaista vidjeti oglas, jer se pretpostavlja da će morati koristiti kod za pristup bilo kojoj usluzi koju pokušavaju prijaviti se. Iako je to apsolutno loš potez, omogućen je zbog toga koliko je SMS slabo zaštićen. Brojni zaposlenici iz Googlea su se javili i rekli da je to definitivno ne napravio Google i da je to vjerojatno djelo bilo kojeg operatera kojeg koristi Chris Lacy. Mark Risher, direktor upravljanja proizvodima za identitet i sigurnost korisnika u Googleu, oglasio se na Twitteru i rekao da "ovo nisu Google oglasi i mi ne oprostite ovu praksu." Nadalje, kaže da Google "radi s bežičnim operaterom kako bi razumio zašto se to dogodilo i osigurao da se to ne dogodi opet."
Iako je korištenje SMS-a za dvofaktorsku autentifikaciju tehnički nesigurno, za većinu ljudi to zapravo nije važno. To je dodatna razina sigurnosti koja je većini ljudi lako dostupna i jednostavna za korištenje i bolja je nego ništa. Većina ljudi neće moći praktično koristiti dvofaktorsku autentifikaciju temeljenu na hardveru, što je razlog zašto se 2FA temeljen na SMS-u još uvijek tako široko koristi. Iako postoje napadi zamjenom SIM kartice, za većinu ljudi oni nisu nešto o čemu bi se ikada trebali brinuti. Ako ništa drugo, impresivno je da je aplikacija Google Messages ipak uspjela otkriti da je poruka spam, iako je poslana s Googleovog telefonskog broja.
Obratili smo se Googleu za komentar jer je njihova dvofaktorna poruka bila neovlaštena, a ažurirat ćemo ovaj članak ako dobijemo odgovor. Chris Lacy je odlučio ne imenovati operatera "zbog privatnosti", ali važno je napomenuti da se to može dogoditi kod bilo kojeg operatera ako koristite SMS. Nakon što je RCS široko prihvaćen i enkripcija s kraja na kraj za tekstualne poruke postane norma, to više neće biti moguće jer operateri neće moći odrediti koje poruke sadrže dvofaktorske kodove, a koje ne.