En uidentifisert operatør er mistenkt for å ha injisert reklame i tofaktorautentiserings-SMS-meldinger fra Google.
En uidentifisert operatør i Australia er mistenkt for å ha injisert reklame i tofaktors SMS-meldinger, ifølge Chris Lacy, utvikleren av Action Launcher. Teksten viser en Google-påloggingsbekreftelseskode i Google Messages-appen, som morsomt nok til og med flagget teksten som spam.
Dette er mulig fordi SMS-meldinger er ukrypterte, og derfor kan operatøren din lese dem alle. Å injisere annonser i 2FA-tekster sikrer at sluttbrukeren faktisk vil se annonse, ettersom det antas at de må bruke koden for å få tilgang til hvilken tjeneste de prøver å logge på. Selv om det absolutt er et skumt trekk, er det gjort mulig på grunn av hvor dårlig beskyttet SMS er. En rekke ansatte fra Google har sagt at dette definitivt er det ikke gjort av Google, og at det sannsynligvis er arbeidet til den operatøren Chris Lacy bruker. Mark Risher, direktør for produktadministrasjon for identitet og brukersikkerhet hos Google, tok til Twitter for å si at "dette er ikke Google-annonser, og vi gjør det ikke godta denne praksisen." Videre sier han at Google "jobber med den trådløse operatøren for å forstå hvorfor dette skjedde og sikre at det ikke skjer en gang til."
Selv om det er teknisk usikkert å bruke SMS for tofaktorautentisering, spiller det ingen rolle for de fleste. Det er et ekstra sikkerhetsnivå som er lett tilgjengelig og enkel å bruke for de fleste, og det er bedre enn ingenting. De fleste vil ikke lett kunne bruke maskinvarebasert tofaktorautentisering, og det er derfor SMS-basert 2FA fortsatt er så mye brukt. Mens SIM-bytteangrep eksisterer, er de for de fleste ikke noe de noen gang trenger å bekymre seg for. Om noe er det imidlertid imponerende at Google Messages-appen fortsatt klarte å fange opp at meldingen var spam, selv om den ble sendt fra et Google-telefonnummer.
Vi har kontaktet Google for kommentarer siden det var deres tofaktormelding som ble tuklet med, og vi vil oppdatere denne artikkelen hvis vi får svar. Chris Lacy velger å ikke navngi operatøren "av personvernhensyn", men det er viktig å merke seg at dette kan skje på hvilken som helst operatør hvis du bruker SMS. Når RCS er allment adoptert og ende-til-ende-kryptering for tekstmeldinger blir normen, vil dette ikke lenger være mulig da operatører ikke vil kunne bestemme hvilke meldinger som inneholder tofaktorkoder og hvilke som ikke gjør det.