Podejrzewa się, że niezidentyfikowany operator umieszcza reklamy w wiadomościach SMS od Google z uwierzytelnianiem dwuskładnikowym.
Według Chrisa Lacy, twórcy Action Launchera, niezidentyfikowany operator w Australii jest podejrzany o umieszczanie reklam w dwuskładnikowych wiadomościach SMS. Tekst pokazuje kod weryfikacyjny logowania Google w aplikacji Wiadomości Google, co, co zabawne, nawet oznaczył tekst jako spam.
Jest to możliwe, ponieważ wiadomości SMS nie są szyfrowane i dlatego Twój operator może je wszystkie odczytać. Wstrzykiwanie reklam do tekstów 2FA gwarantuje, że użytkownik końcowy rzeczywiście je zobaczy reklamę, ponieważ zakłada się, że będą musieli użyć kodu, aby uzyskać dostęp do dowolnej usługi, której próbują zalogować się do. Chociaż jest to absolutnie szalone posunięcie, stało się możliwe dzięki słabej ochronie SMS-ów. Wielu pracowników Google stwierdziło, że zdecydowanie tak nie wykonane przez Google i że prawdopodobnie jest to dzieło dowolnego operatora, z którego korzysta Chris Lacy. Mark Risher, dyrektor ds. zarządzania produktami ds. tożsamości i bezpieczeństwa użytkowników w Google, napisał na Twitterze, że „to nie są reklamy Google i nie akceptuję tę praktykę.” Ponadto twierdzi, że Google „współpracuje z operatorem sieci bezprzewodowej, aby zrozumieć, dlaczego tak się stało i zapewnić, że tak się nie stanie Ponownie."
Chociaż używanie wiadomości SMS do uwierzytelniania dwuskładnikowego jest technicznie niepewne, dla większości ludzi tak naprawdę nie ma to znaczenia. Jest to dodatkowy poziom bezpieczeństwa, który jest łatwo dostępny i prosty w użyciu dla większości ludzi, a jest lepszy niż nic. Większość osób nie będzie w stanie wygodnie korzystać ze sprzętowego uwierzytelniania dwuskładnikowego, dlatego 2FA oparte na SMS-ach jest nadal tak powszechnie stosowane. Choć istnieją ataki polegające na zamianie karty SIM, dla większości ludzi nie będą one czymś, czym będą musieli się martwić. W każdym razie imponujące jest to, że aplikacja Wiadomości Google nadal wykrywa, że wiadomość jest spamem, mimo że została wysłana z numeru telefonu Google.
Skontaktowaliśmy się z Google w celu uzyskania komentarza, ponieważ to ich dwuskładnikowa wiadomość została zmanipulowana. Jeśli otrzymamy odpowiedź, zaktualizujemy ten artykuł. Chris Lacy postanawia nie podawać nazwy operatora „ze względu na prywatność”, ale należy pamiętać, że może się to zdarzyć w przypadku dowolnego operatora, jeśli korzystasz z wiadomości SMS. Kiedy RCS zostanie powszechnie przyjęte i kompleksowe szyfrowanie wiadomości tekstowych stanie się normą, nie będzie to już możliwe, ponieważ przewoźnicy nie będą w stanie określić, które wiadomości zawierają kody dwuskładnikowe, a które nie.