신원을 알 수 없는 통신사가 Google의 이중 인증 SMS 메시지에 광고를 삽입한 것으로 의심됩니다.
Action Launcher의 개발자인 Chris Lacy에 따르면 호주의 미확인 통신업체가 이중 요소 SMS 메시지에 광고를 삽입한 혐의를 받고 있습니다. 이 텍스트에는 Google 메시지 앱의 Google 로그인 인증 코드가 표시되는데, 재미있게도 해당 텍스트를 스팸으로 표시하기도 했습니다.
이는 SMS 메시지가 암호화되지 않아 이동통신사가 모든 메시지를 읽을 수 있기 때문에 가능합니다. 2FA 텍스트에 광고를 삽입하면 최종 사용자가 실제로 광고, 시도하는 서비스에 액세스하려면 코드를 사용해야 한다고 가정됩니다. 로그인합니다. 이는 절대적으로 형편없는 움직임이지만 SMS가 제대로 보호되지 않았기 때문에 가능했습니다. Google의 많은 직원은 이것이 확실히 그렇다고 말했습니다. ~ 아니다 이는 Google에서 수행했으며 Chris Lacy가 사용하는 모든 이동통신사의 작업일 가능성이 높습니다. Google의 신원 및 사용자 보안 제품 관리 이사인 Mark Risher는 트위터를 통해 "이것은 Google 광고가 아니며 우리는 그렇지 않습니다. 이런 관행을 묵과하라”고 덧붙였다. 그는 “구글은 왜 이런 일이 일어났는지 이해하고 이런 일이 일어나지 않도록 하기 위해 무선통신사와 협력하고 있다”고 말했다. 다시."
이중 인증에 SMS를 사용하는 것은 기술적으로 안전하지 않지만 대부분의 사람들에게는 실제로는 중요하지 않습니다. 이는 대부분의 사람들이 쉽게 액세스하고 사용할 수 있는 추가 보안 수준이며 아무것도 없는 것보다 낫습니다. 대부분의 사람들은 하드웨어 기반의 2단계 인증을 편리하게 사용할 수 없기 때문에 SMS 기반 2FA가 여전히 널리 사용되고 있습니다. SIM 스왑 공격이 존재하지만 대부분의 사람들에게는 걱정할 필요가 없습니다. 하지만 어쨌든 Google 전화번호에서 전송된 메시지임에도 불구하고 Google 메시지 앱이 해당 메시지가 스팸이라는 사실을 계속해서 포착했다는 점은 인상적입니다.
Google의 2단계 메시지가 변조되었기 때문에 Google에 의견을 요청했으며, 응답을 받으면 이 문서를 업데이트할 것입니다. Chris Lacy는 "개인정보 보호를 위해" 이동통신사 이름을 지정하지 않기로 결정했습니다. 하지만 SMS를 사용하는 경우 모든 이동통신사에서 이러한 일이 발생할 수 있다는 점을 기억하는 것이 중요합니다. RCS가 널리 채택되면 문자 메시지의 종단 간 암호화 표준이 되면서 통신업체는 어떤 메시지에 2단계 코드가 포함되어 있고 어떤 메시지가 포함되어 있지 않은지 확인할 수 없으므로 이는 더 이상 불가능합니다.