Een onbekende vervoerder wordt verdacht van het injecteren van advertenties in sms-berichten met tweefactorauthenticatie van Google.
Een onbekende koerier in Australië wordt ervan verdacht advertenties in tweefactor-sms-berichten te injecteren, aldus Chris Lacy, de ontwikkelaar van Action Launcher. De tekst toont een Google-inlogverificatiecode in de Google Berichten-app, die de tekst grappig genoeg zelfs als spam markeerde.
Dit is mogelijk omdat sms-berichten niet-versleuteld zijn en uw provider ze daarom allemaal kan lezen. Het injecteren van advertenties in 2FA-teksten zorgt ervoor dat de eindgebruiker de tekst ook daadwerkelijk te zien krijgt advertentie, omdat wordt aangenomen dat ze de code moeten gebruiken om toegang te krijgen tot de service die ze proberen om in te loggen. Hoewel het absoluut een slechte zet is, wordt het mogelijk gemaakt vanwege de slecht beveiligde sms-functie. Een aantal medewerkers van Google hebben gezegd dat dit zeker het geval is niet gedaan door Google en dat dit waarschijnlijk het werk is van de koerier die Chris Lacy gebruikt. Mark Risher, directeur Product Management voor identiteit en gebruikersbeveiliging bij Google, zei op Twitter dat "dit geen Google-advertenties zijn en wij ook niet vergoelijken deze praktijk." Bovendien zegt hij dat Google "samenwerkt met de mobiele provider om te begrijpen waarom dit is gebeurd en ervoor te zorgen dat dit niet gebeurt opnieuw."
Hoewel het gebruik van sms voor tweefactorauthenticatie technisch gezien onveilig is, maakt het voor de meeste mensen eigenlijk niets uit. Het is een extra beveiligingsniveau dat voor de meeste mensen gemakkelijk toegankelijk en eenvoudig te gebruiken is, en het is beter dan niets. De meeste mensen zullen niet gemakkelijk gebruik kunnen maken van op hardware gebaseerde tweefactorauthenticatie. Daarom wordt op sms gebaseerde 2FA nog steeds zo veel gebruikt. Hoewel SIM-swap-aanvallen bestaan, hoeven ze zich voor de meeste mensen nooit zorgen te maken. Het is echter indrukwekkend dat de Google Berichten-app er nog steeds in slaagde op te merken dat het bericht spam was, ook al was het verzonden vanaf een Google-telefoonnummer.
We hebben contact opgenomen met Google voor commentaar, omdat er met hun tweeledige boodschap is geknoeid. We zullen dit artikel bijwerken als we een reactie krijgen. Chris Lacy kiest ervoor om de provider "om privacyredenen" niet te noemen, maar het is belangrijk op te merken dat dit bij elke provider kan gebeuren als je sms gebruikt. Zodra RCS op grote schaal wordt toegepast en end-to-end-encryptie voor sms-berichten de norm wordt, zal dit niet langer mogelijk zijn omdat vervoerders niet kunnen bepalen welke berichten tweefactorcodes bevatten en welke niet.