Неизвестный оператор связи подозревается во внедрении рекламы в SMS-сообщения двухфакторной аутентификации от Google.
По словам Криса Лейси, разработчика Action Launcher, неустановленный оператор связи в Австралии подозревается во внедрении рекламы в двухфакторные SMS-сообщения. В тексте показан код подтверждения входа в Google в приложении «Сообщения Google», которое, как ни странно, даже пометило этот текст как спам.
Это возможно, поскольку SMS-сообщения не зашифрованы, и, следовательно, ваш оператор связи может прочитать их все. Внедрение рекламы в тексты 2FA гарантирует, что конечный пользователь действительно увидит реклама, поскольку предполагается, что им нужно будет использовать код для доступа к любой услуге, которую они пробуют. для входа в систему. Хотя это абсолютно подлый шаг, он стал возможен из-за того, насколько плохо защищены SMS. Ряд сотрудников Google заявили, что это определенно нет сделано Google и что, скорее всего, это работа любого оператора связи, которым пользуется Крис Лейси. Марк Ришер, директор по управлению продуктами в области идентификации и безопасности пользователей в Google, написал в Твиттере, что «это не реклама Google, и мы не одобряем эту практику». Кроме того, он говорит, что Google «работает с оператором беспроводной связи, чтобы понять, почему это произошло, и гарантировать, что этого не произойдет». снова."
Хотя использование SMS для двухфакторной аутентификации технически небезопасно, для большинства людей это не имеет значения. Это дополнительный уровень безопасности, который легко доступен и прост в использовании для большинства людей, и это лучше, чем ничего. Большинству людей не будет удобно использовать аппаратную двухфакторную аутентификацию, поэтому 2FA на основе SMS до сих пор так широко используется. Хотя атаки по замене SIM-карты существуют, большинству людей о них не стоит беспокоиться. Во всяком случае, впечатляет то, что приложению Google Messages все же удалось определить, что сообщение является спамом, даже несмотря на то, что оно было отправлено с номера телефона Google.
Мы обратились к Google за комментариями, поскольку это было их двухфакторное сообщение, которое было подделано, и мы обновим эту статью, если получим ответ. Крис Лейси предпочитает не называть оператора связи «по соображениям конфиденциальности», но важно отметить, что это может произойти с любым оператором связи, если вы используете SMS. Как только RCS получит широкое распространение и сквозное шифрование текстовых сообщений станет нормой, это больше не будет возможно, поскольку операторы связи не смогут определять, какие сообщения содержат двухфакторные коды, а какие нет.