身元不明の通信事業者が、Google からの 2 要素認証 SMS メッセージに広告を挿入した疑いがあります。
Action Launcherの開発者であるChris Lacy氏によると、オーストラリアの正体不明の通信事業者が2要素SMSメッセージに広告を挿入した疑いがあるという。 このテキストには、Google メッセージ アプリの Google サインイン確認コードが表示されており、面白いことに、テキストにスパムとしてフラグが付けられていました。
これが可能なのは、SMS メッセージが暗号化されていないため、通信事業者がすべてのメッセージを読み取ることができるからです。 2FA テキストに広告を挿入すると、エンドユーザーが実際に見ることが保証されます。 広告、彼らが試みているサービスにアクセスするにはコードを使用する必要があると想定されているため にログインします。 これはまったく卑劣な行為ではありますが、SMS の保護が不十分なためにこのようなことが可能になってしまいました。 Google の多くの従業員は、これは間違いないと主張しています。 ない これは Google によって行われたものであり、Chris Lacy が使用しているキャリアの仕業である可能性が高いと考えられます。 Googleのアイデンティティとユーザーセキュリティの製品管理ディレクターであるマーク・リッシャー氏は、Twitterで「これらはGoogleの広告ではなく、我々は広告ではない」と述べた。 この慣行を容認してください。」 さらに、Google は「なぜこのようなことが起こったのかを理解し、このようなことが起こらないようにするために無線通信事業者と協力している」と彼は述べています。 また。"
2 要素認証に SMS を使用することは技術的には安全ではありませんが、ほとんどの人にとって、それは実際には問題ではありません。 これは、ほとんどの人にとって簡単にアクセスでき、簡単に使用できる追加レベルのセキュリティであり、何もしないよりはマシです。 ほとんどの人はハードウェア ベースの 2 要素認証を便利に使用できないため、SMS ベースの 2FA が依然として広く使用されています。 SIM スワップ攻撃は存在しますが、ほとんどの人にとって、心配する必要はありません。 むしろ、メッセージが Google の電話番号から送信されたものであるにもかかわらず、Google メッセージ アプリがそのメッセージがスパムであることを認識できたことは印象的です。
改ざんされたのは Google の 2 要素メッセージであったため、Google にコメントを求めました。返答が得られたらこの記事を更新します。 Chris Lacy 氏は「プライバシー上の理由から」通信事業者の名前を明かさないことを選択していますが、SMS を使用している場合、これはどの通信事業者でも起こる可能性があることに注意することが重要です。 RCS が広く採用されると、 テキストメッセージのエンドツーエンド暗号化 これが標準になると、通信事業者はどのメッセージに 2 要素コードが含まれているか、どのメッセージに含まれていないかを判断できなくなるため、これは不可能になります。