Uma operadora não identificada é suspeita de injetar anúncios em mensagens SMS de autenticação de dois fatores do Google.
Uma operadora não identificada na Austrália é suspeita de injetar anúncios em mensagens SMS de dois fatores, de acordo com Chris Lacy, desenvolvedor do Action Launcher. O texto mostra um código de verificação de login do Google no aplicativo Mensagens do Google, que, curiosamente, até sinalizou o texto como spam.
Isso é possível porque as mensagens SMS não são criptografadas e, portanto, sua operadora pode ler todas elas. A injeção de anúncios em textos 2FA garante que o usuário final realmente verá o anúncio, pois presume-se que eles precisarão usar o código para acessar qualquer serviço que estejam tentando para fazer login. Embora seja uma jogada absolutamente desagradável, ela é possível devido à fraca proteção do SMS. Vários funcionários do Google entraram na conversa para dizer que isso é definitivamente não feito pelo Google e que provavelmente é trabalho de qualquer operadora que Chris Lacy esteja usando. Mark Risher, Diretor de Gerenciamento de Produtos de Identidade e Segurança do Usuário do Google, acessou o Twitter para dizer que "estes não são anúncios do Google e não tolera essa prática." Além disso, ele diz que o Google está "trabalhando com a operadora de telefonia móvel para entender por que isso aconteceu e garantir que isso não aconteça de novo."
Embora o uso de SMS para autenticação de dois fatores seja tecnicamente inseguro, para a maioria das pessoas isso realmente não importa. É um nível extra de segurança facilmente acessível e simples de usar para a maioria das pessoas, e é melhor do que nada. A maioria das pessoas não conseguirá usar convenientemente a autenticação de dois fatores baseada em hardware, e é por isso que o 2FA baseado em SMS ainda é tão amplamente utilizado. Embora existam ataques de troca de SIM, para a maioria das pessoas, eles não são algo com que precisem se preocupar. No entanto, é impressionante que o aplicativo Mensagens do Google ainda tenha conseguido detectar que a mensagem era spam, mesmo tendo sido enviada de um número de telefone do Google.
Entramos em contato com o Google para comentar, pois foi a mensagem de dois fatores que foi adulterada e atualizaremos este artigo se obtivermos uma resposta. Chris Lacy optou por não nomear a operadora “por motivos de privacidade”, mas é importante observar que isso pode acontecer em qualquer operadora se você estiver usando SMS. Uma vez que o RCS é amplamente adotado e criptografia ponta a ponta para mensagens de texto se tornar a norma, isso não será mais possível, pois as operadoras não serão capazes de determinar quais mensagens contêm códigos de dois fatores e quais não.