Neidentificirani operater je osumljen vstavljanja oglasov v Googlova sporočila SMS z dvostopenjsko avtentikacijo.
Po Chrisu Lacyju, razvijalcu Action Launcherja, je neidentificirani operater v Avstraliji osumljen vbrizgavanja oglasov v dvofaktorska sporočila SMS. Besedilo prikazuje Googlovo kodo za preverjanje prijave v aplikaciji Google Messages, ki je, smešno, besedilo celo označila kot vsiljeno pošto.
To je mogoče, ker sporočila SMS niso šifrirana, zato jih lahko vaš operater prebere vsa. Vstavljanje oglasov v besedila 2FA zagotavlja, da bo končni uporabnik dejansko videl oglas, saj se domneva, da bodo morali uporabiti kodo za dostop do katere koli storitve, ki jo poskušajo za prijavo. Čeprav je to popolnoma neumna poteza, je to mogoče zaradi tega, kako slabo so zaščitena sporočila SMS. Številni zaposleni pri Googlu so se oglasili in rekli, da je to zagotovo ne opravil Google in da je verjetno delo katerega koli operaterja, ki ga uporablja Chris Lacy. Mark Risher, direktor produktnega upravljanja za identiteto in varnost uporabnikov pri Googlu, je na Twitterju dejal, da "to niso Googlovi oglasi in mi ne opravičuje to prakso." Poleg tega pravi, da Google "sodeluje z brezžičnim operaterjem, da bi razumel, zakaj se je to zgodilo, in zagotovil, da se to ne bi zgodilo. ponovno."
Čeprav je uporaba SMS-a za dvostopenjsko avtentikacijo tehnično nevarna, za večino ljudi to res ni pomembno. To je dodatna raven varnosti, ki je lahko dostopna in preprosta za uporabo za večino ljudi, in je boljša kot nič. Večina ljudi ne bo mogla priročno uporabljati strojne dvofaktorske avtentikacije, zato se 2FA, ki temelji na SMS-ih, še vedno tako pogosto uporablja. Čeprav obstajajo napadi na zamenjavo kartice SIM, za večino ljudi to ni nekaj, kar bi jim moralo kdaj skrbeti. Če kaj drugega, je impresivno, da je aplikaciji Google Messages vseeno uspelo ugotoviti, da je sporočilo vsiljena pošta, čeprav je bilo poslano z Googlove telefonske številke.
Za komentar smo se obrnili na Google, saj je bilo spremenjeno njihovo dvofaktorsko sporočilo, ta članek pa bomo posodobili, če bomo prejeli odgovor. Chris Lacy se je odločil, da ne bo imenoval operaterja "zaradi zasebnosti", vendar je pomembno vedeti, da se to lahko zgodi pri katerem koli operaterju, če uporabljate SMS. Ko bo RCS široko sprejet in šifriranje od konca do konca za besedilna sporočila postane norma, to ne bo več mogoče, saj operaterji ne bodo mogli določiti, katera sporočila vsebujejo dvofaktorske kode in katera ne.