Egy ismeretlen szolgáltatót azzal gyanúsítanak, hogy hirdetéseket szúrt a Google kétlépcsős hitelesítésű SMS-eibe.
Chris Lacy, az Action Launcher fejlesztője szerint egy azonosítatlan ausztrál szolgáltatót gyanúsítanak azzal, hogy hirdetéseket szúrt kétfaktoros SMS-ekbe. A szövegben egy Google bejelentkezési ellenőrző kód látható a Google Messages alkalmazásban, ami viccesen még spamként is megjelölte a szöveget.
Ez azért lehetséges, mert az SMS-üzenetek nem titkosítottak, és ezért a szolgáltatója mindegyiket elolvashatja. A hirdetések 2FA szövegekbe való beszúrása biztosítja, hogy a végfelhasználó valóban lássa a hirdetést, mivel feltételezhető, hogy a kódot kell használniuk ahhoz, hogy elérjék azt a szolgáltatást, amelyet próbálnak bejelentkezni. Noha ez teljesen ócska lépés, az SMS-ek gyengén védettsége miatt lehetséges. A Google számos alkalmazottja jelezte, hogy ez határozottan így van nem a Google, és ez valószínűleg a Chris Lacy által használt szolgáltató munkája. Mark Risher, a Google identitással és felhasználói biztonsággal foglalkozó termékkezelési igazgatója a Twitteren azt mondta, hogy "ezek nem Google hirdetések, és mi nem Elnézi ezt a gyakorlatot." Továbbá azt mondja, hogy a Google "együttműködik a vezeték nélküli szolgáltatóval annak érdekében, hogy megértse, miért történt ez, és biztosítsa, hogy ne forduljon elő újra."
Míg az SMS kétfaktoros hitelesítéshez való használata technikailag nem biztonságos, a legtöbb ember számára ez tényleg nem számít. Ez egy extra biztonsági szint, amely a legtöbb ember számára könnyen elérhető és egyszerűen használható, és jobb, mint a semmi. A legtöbb ember nem fogja tudni kényelmesen használni a hardver alapú kétfaktoros hitelesítést, ezért az SMS-alapú 2FA még mindig olyan széles körben használatos. Bár léteznek SIM-csere támadások, a legtöbb ember számára ezek miatt nem kell aggódniuk. Lenyűgöző, hogy a Google Messages alkalmazásnak sikerült felismernie, hogy az üzenet spam, pedig egy Google telefonszámról küldték.
Megkerestük a Google-t megjegyzésért, mivel az ő kétfaktoros üzenetüket manipulálták, és frissítjük ezt a cikket, ha választ kapunk. Chris Lacy úgy dönt, hogy "adatvédelmi okokból" nem nevezi meg a szolgáltatót, de fontos megjegyezni, hogy ez bármelyik szolgáltatónál megtörténhet, ha SMS-t használ. Miután az RCS széles körben elterjedt és végpontok közötti titkosítás a szöveges üzenetekhez Ez a továbbiakban nem lesz lehetséges, mivel a szolgáltatók nem fogják tudni meghatározni, hogy mely üzenetek tartalmaznak kéttényezős kódokat, és melyek nem.