Un operator neidentificat este suspectat că a injectat reclame în mesajele SMS de autentificare cu doi factori de la Google.
Un operator neidentificat din Australia este suspectat că a injectat reclame în mesaje SMS cu doi factori, potrivit Chris Lacy, dezvoltatorul Action Launcher. Textul arată un cod de verificare de conectare Google în aplicația Google Messages, care, în mod amuzant, chiar a semnalat textul ca spam.
Acest lucru este posibil deoarece mesajele SMS sunt necriptate și, prin urmare, operatorul dvs. le poate citi pe toate. Injectarea de reclame în textele 2FA asigură că utilizatorul final va vedea cu adevărat publicitate, deoarece se presupune că vor trebui să folosească codul pentru a accesa orice serviciu pe care îl încearcă pentru a vă conecta. Deși este absolut o mișcare proastă, este posibilă datorită cât de prost protejat este SMS-ul. O serie de angajați de la Google au intervenit pentru a spune că acest lucru este cu siguranță nu făcut de Google și că este probabil munca oricărui operator de telefonie pe care Chris Lacy îl folosește. Mark Risher, director de management de produs pentru identitatea și securitatea utilizatorilor la Google, a spus pe Twitter că „acestea nu sunt reclame Google și nu acceptă această practică.” În plus, el spune că Google „colaborează cu operatorul wireless pentru a înțelege de ce s-a întâmplat acest lucru și pentru a se asigura că nu se întâmplă. din nou."
În timp ce utilizarea SMS-urilor pentru autentificarea cu doi factori este nesigură din punct de vedere tehnic, pentru majoritatea oamenilor, chiar nu contează. Este un nivel suplimentar de securitate care este ușor accesibil și simplu de utilizat pentru majoritatea oamenilor și este mai bine decât nimic. Majoritatea oamenilor nu vor putea folosi convenabil autentificarea cu doi factori bazată pe hardware, motiv pentru care 2FA bazat pe SMS este încă utilizat pe scară largă. Deși există atacuri de schimb SIM, pentru majoritatea oamenilor, acestea nu sunt ceva de care vor trebui să-și facă griji vreodată. În orice caz, totuși, este impresionant că aplicația Google Messages a reușit în continuare să înțeleagă că mesajul a fost spam, chiar dacă a fost trimis de la un număr de telefon Google.
Am contactat Google pentru comentarii, deoarece mesajul lor cu doi factori a fost modificat și vom actualiza acest articol dacă primim un răspuns. Chris Lacy alege să nu numească operatorul „din motive de confidențialitate”, dar este important să rețineți că acest lucru s-ar putea întâmpla la orice operator dacă utilizați SMS. Odată ce RCS este adoptat pe scară largă și criptare end-to-end pentru mesajele text devine o normă, acest lucru nu va mai fi posibil, deoarece transportatorii nu vor putea determina ce mesaje conțin coduri cu doi factori și care nu.