Un operatore non identificato è sospettato di aver inserito pubblicità negli SMS di autenticazione a due fattori di Google.
Secondo Chris Lacy, lo sviluppatore di Action Launcher, un operatore non identificato in Australia è sospettato di aver inserito pubblicità nei messaggi SMS a due fattori. Il testo mostra un codice di verifica dell'accesso di Google nell'app Google Messaggi, che, stranamente, ha persino contrassegnato il testo come spam.
Ciò è possibile perché i messaggi SMS non sono crittografati e pertanto il tuo operatore può leggerli tutti. L'inserimento di annunci pubblicitari nei testi 2FA garantisce che l'utente finale vedrà effettivamente i file pubblicità, poiché si presume che dovranno utilizzare il codice per accedere a qualunque servizio stiano provando per accedere. Sebbene sia assolutamente una mossa meschina, è resa possibile a causa della scarsa protezione degli SMS. Un certo numero di dipendenti di Google sono intervenuti per dire che questo è sicuramente non fatto da Google e che probabilmente è il lavoro di qualunque operatore Chris Lacy stia utilizzando. Mark Risher, direttore della gestione dei prodotti per l'identità e la sicurezza degli utenti presso Google, si è rivolto a Twitter per affermare che "questi non sono annunci di Google e non lo facciamo" condonare questa pratica." Inoltre, dice che Google "sta lavorando con l'operatore wireless per capire perché ciò è accaduto e garantire che non accada Ancora."
Sebbene l'utilizzo degli SMS per l'autenticazione a due fattori sia tecnicamente insicuro, per la maggior parte delle persone non ha alcuna importanza. È un ulteriore livello di sicurezza facilmente accessibile e semplice da utilizzare per la maggior parte delle persone ed è meglio di niente. La maggior parte delle persone non sarà in grado di utilizzare comodamente l'autenticazione a due fattori basata su hardware, motivo per cui la 2FA basata su SMS è ancora così ampiamente utilizzata. Sebbene esistano attacchi di scambio SIM, per la maggior parte delle persone non sono qualcosa di cui dovranno mai preoccuparsi. Se non altro, è impressionante che l'app Google Messaggi sia riuscita comunque a rilevare che il messaggio era spam, anche se è stato inviato da un numero di telefono Google.
Abbiamo contattato Google per un commento poiché è stato il loro messaggio a due fattori ad essere manomesso e aggiorneremo questo articolo se riceviamo una risposta. Chris Lacy ha scelto di non nominare l'operatore "per motivi di privacy", ma è importante notare che ciò potrebbe accadere con qualsiasi operatore se si utilizzano gli SMS. Una volta che RCS sarà ampiamente adottato e crittografia end-to-end per i messaggi di testo diventa la norma, ciò non sarà più possibile poiché gli operatori non saranno in grado di determinare quali messaggi contengono codici a due fattori e quali no.