Prepravca podozrivý z vkladania reklám do dvojfaktorových SMS správ

Neznámy operátor je podozrivý z vkladania reklám do dvojfaktorových overovacích SMS správ od Google.

Podľa Chrisa Lacyho, vývojára Action Launcher, je neznámy dopravca v Austrálii podozrivý zo vstrekovania reklám do dvojfaktorových SMS správ. Text zobrazuje prihlasovací overovací kód Google v aplikácii Správy Google, ktorá, čo je zábavné, dokonca označila text ako spam.

Je to možné, pretože správy SMS sú nešifrované, a preto ich váš operátor môže všetky prečítať. Vloženie reklám do textov 2FA zaisťuje, že koncový používateľ skutočne uvidí reklamu, pretože sa predpokladá, že budú musieť použiť kód na prístup k akejkoľvek službe, ktorú skúšajú prihlásiť sa. Aj keď je to absolútne špinavý krok, je to možné vďaka tomu, ako zle sú SMS chránené. Viacerí zamestnanci spoločnosti Google sa prihlásili a povedali, že je to tak nie urobil Google a že je to pravdepodobne práca akéhokoľvek operátora, ktorý Chris Lacy používa. Mark Risher, riaditeľ produktového manažmentu pre identitu a bezpečnosť používateľov v spoločnosti Google, uviedol na Twitteri, že „toto nie sú reklamy Google a my nie schvaľuje túto prax.“ Ďalej hovorí, že Google „spolupracuje s bezdrôtovým operátorom, aby pochopil, prečo sa to stalo, a zabezpečil, aby sa to nestalo znova."

Zatiaľ čo používanie SMS na dvojfaktorovú autentifikáciu je technicky neisté, pre väčšinu ľudí na tom skutočne nezáleží. Ide o ďalšiu úroveň zabezpečenia, ktorá je ľahko dostupná a jednoducho sa používa pre väčšinu ľudí, a je to lepšie ako nič. Väčšina ľudí nebude môcť pohodlne používať hardvérovú dvojfaktorovú autentifikáciu, a preto je 2FA založená na SMS stále tak široko používaná. Hoci existujú útoky na výmenu SIM kariet, pre väčšinu ľudí nie sú niečím, o čo sa budú musieť starať. Napriek tomu je pôsobivé, že aplikácii Správy Google sa stále podarilo zachytiť, že správa bola spam, aj keď bola odoslaná z telefónneho čísla Google.

Požiadali sme Google o komentár, pretože to bola ich dvojfaktorová správa, ktorá bola sfalšovaná, a ak dostaneme odpoveď, aktualizujeme tento článok. Chris Lacy sa rozhodol neuviesť operátora „z dôvodov ochrany osobných údajov“, ale je dôležité poznamenať, že sa to môže stať u akéhokoľvek operátora, ak používate SMS. Akonáhle bude RCS široko prijatý a end-to-end šifrovanie pre textové správy sa stane normou, už to nebude možné, pretože operátori nebudú schopní určiť, ktoré správy obsahujú dvojfaktorové kódy a ktoré nie.