ספק לא מזוהה חשוד בהחדרת פרסומות להודעות SMS דו-גורמי אימות מגוגל.
ספק לא מזוהה באוסטרליה חשוד בהחדרת פרסומות להודעות SMS דו-גורמיות, לדברי כריס לייסי, מפתח Action Launcher. הטקסט מציג קוד אימות כניסה של Google באפליקציית Google Messages, שבאופן מצחיק, אפילו סימן את הטקסט כדואר זבל.
זה אפשרי מכיוון שהודעות SMS אינן מוצפנות, ולכן הספק שלך יכול לקרוא את כולן. הזרקת פרסומות לטקסטים של 2FA מבטיחה שמשתמש הקצה יראה את פרסומת, שכן ההנחה היא שהם יצטרכו להשתמש בקוד כדי לגשת לכל שירות שהם מנסים להתחבר אליו. למרות שזה בהחלט מהלך עלוב, זה מתאפשר בגלל עד כמה ה-SMS מוגן בצורה גרועה. מספר עובדים מגוגל צלצלו ואמרו שזה בהחלט לֹא נעשה על ידי גוגל ושסביר להניח שזו העבודה של כל ספק שקריס לייסי משתמש בו. מארק רישר, מנהל ניהול מוצר בנושא זהות ואבטחת משתמשים בגוגל, פנה לטוויטר ואמר כי "אלה לא מודעות של גוגל ואנחנו לא תסכים לנוהג הזה." יתר על כן, הוא אומר שגוגל "עובדת עם הספק האלחוטי כדי להבין למה זה קרה ולהבטיח שזה לא יקרה שוב."
בעוד ששימוש ב-SMS לאימות דו-שלבי אינו בטוח מבחינה טכנית, עבור רוב האנשים, זה ממש לא משנה. זוהי רמת אבטחה נוספת שנגישה בקלות ופשוטה לשימוש עבור רוב האנשים, והיא טובה מכלום. רוב האנשים לא יוכלו להשתמש בנוחות באימות דו-גורמי מבוסס חומרה, וזו הסיבה ש-2FA מבוסס SMS עדיין נמצא בשימוש כה נרחב. אמנם קיימות התקפות החלפת SIM, אבל עבור רוב האנשים, הן לא משהו שהם אי פעם יצטרכו לדאוג לגביו. אם כבר, זה מרשים שאפליקציית Google Messages עדיין הצליחה לקלוט שההודעה היא ספאם, למרות שהיא נשלחה ממספר טלפון של גוגל.
פנינו לגוגל להערה מכיוון שזו הייתה ההודעה הדו-גורמית שלהם שטופלה, ואנו נעדכן מאמר זה אם נקבל תגובה. כריס לייסי בוחר שלא לתת שם לספק "מטעמי פרטיות", אבל חשוב לציין שזה יכול לקרות בכל ספק אם אתה משתמש ב-SMS. ברגע ש-RCS אומץ באופן נרחב ו הצפנה מקצה לקצה עבור הודעות טקסט הופך לנורמה, זה לא יהיה אפשרי עוד מכיוון שהספקים לא יוכלו לקבוע אילו הודעות מכילות קודים דו-גורמיים ואילו לא.