Vežėjas įtariamas suleidęs reklamas į dviejų veiksnių SMS žinutes

Įtariama, kad nenustatytas operatorius į dviejų veiksnių autentifikavimo SMS žinutes iš „Google“ įdėjo reklamą.

Pasak „Action Launcher“ kūrėjo Chriso Lacy, nenustatytas vežėjas Australijoje įtariamas suleidęs reklamą į dviejų veiksnių SMS žinutes. Tekste rodomas „Google“ prisijungimo patvirtinimo kodas „Google Messages“ programoje, kuris, kaip smagu, netgi pažymėjo tekstą kaip šlamštą.

Tai įmanoma, nes SMS žinutės yra nešifruotos, todėl jūsų operatorius gali jas visas perskaityti. Skelbimų įterpimas į 2FA tekstus užtikrina, kad galutinis vartotojas tikrai pamatys reklamą, nes manoma, kad jie turės naudoti kodą, kad pasiektų bet kurią bandomą paslaugą prisijungti prie. Nors tai absoliučiai šlykštus žingsnis, tai įmanoma dėl to, kad SMS yra prastai apsaugotas. Daugelis „Google“ darbuotojų pareiškė, kad taip tikrai yra ne atliko „Google“ ir kad tai greičiausiai bet kokio operatoriaus, kurį naudoja Chrisas Lacy, darbas. Markas Risheris, „Google“ tapatybės ir naudotojų saugos produktų valdymo direktorius, socialiniame tinkle „Twitter“ pareiškė, kad „tai nėra „Google“ skelbimai ir mes to nedarome. Be to, jis sako, kad „Google“ „bendradarbiauja su belaidžio ryšio operatoriumi, siekdama suprasti, kodėl taip atsitiko, ir užtikrinti, kad taip neatsitiktų vėl“.

Nors SMS naudojimas dviejų veiksnių autentifikavimui yra techniškai nesaugus, daugumai žmonių tai tikrai nesvarbu. Tai papildomas saugumo lygis, kuris yra lengvai pasiekiamas ir paprastas naudoti daugumai žmonių, ir tai geriau nei nieko. Dauguma žmonių negalės patogiai naudotis aparatine dviejų veiksnių autentifikacija, todėl SMS žinutėmis pagrįsta 2FA vis dar taip plačiai naudojama. Nors SIM keitimo atakos egzistuoja, daugumai žmonių jos niekada neturės jaudintis. Vis dėlto įspūdinga, kad „Google Messages“ programa vis tiek sugebėjo atpažinti, kad pranešimas buvo šlamštas, nors jis buvo išsiųstas iš „Google“ telefono numerio.

Kreipėmės į „Google“ norėdami pakomentuoti, nes buvo sugadintas jų dviejų veiksnių pranešimas, ir atnaujinsime šį straipsnį, jei gausime atsakymą. Chrisas Lacy nusprendžia neįvardinti operatoriaus pavadinimo „dėl privatumo priežasčių“, tačiau svarbu atkreipti dėmesį, kad tai gali nutikti bet kuriam operatoriui, jei naudojate SMS. Kai RCS bus plačiai priimtas ir tekstinių pranešimų nuo galo iki galo šifravimas tampa norma, tai nebebus įmanoma, nes vežėjai negalės nustatyti, kuriuose pranešimuose yra dviejų veiksnių kodai, o kuriuose ne.