En oidentifierad operatör misstänks ha injicerat reklam i SMS-meddelanden med tvåfaktorsautentisering från Google.
En oidentifierad operatör i Australien misstänks ha injicerat reklam i tvåfaktors SMS, enligt Chris Lacy, utvecklaren av Action Launcher. Texten visar en verifieringskod för Google-inloggning i Google Messages-appen, som lustigt nog till och med flaggade texten som skräppost.
Detta är möjligt eftersom SMS-meddelanden är okrypterade, och därför kan din operatör läsa dem alla. Genom att injicera annonser i 2FA-texter säkerställs att slutanvändaren faktiskt ser annons, eftersom det antas att de kommer att behöva använda koden för att komma åt vilken tjänst de än försöker att logga in på. Även om det är ett skumt drag, är det möjligt på grund av hur dåligt skyddade SMS är. Ett antal anställda från Google har sagt att detta definitivt är det inte gjort av Google och att det troligen är verket av vilken operatör Chris Lacy än använder. Mark Risher, Director of Product Management on Identity and User Security på Google, tog till Twitter för att säga att "detta är inte Google-annonser och vi gör inte det tolerera denna praxis." Dessutom säger han att Google "arbetar med den trådlösa operatören för att förstå varför detta hände och se till att det inte händer igen."
Även om det är tekniskt osäkert att använda SMS för tvåfaktorsautentisering, spelar det ingen roll för de flesta. Det är en extra säkerhetsnivå som är lättillgänglig och enkel att använda för de flesta, och det är bättre än ingenting. De flesta människor kommer inte att bekvämt kunna använda hårdvarubaserad tvåfaktorsautentisering, vilket är anledningen till att SMS-baserad 2FA fortfarande används så mycket. Även om SIM-bytesattacker existerar, är de för de flesta inte något de någonsin kommer att behöva oroa sig för. Om något är det dock imponerande att Google Messages-appen fortfarande lyckades fånga upp att meddelandet var skräppost, även om det skickades från ett Google-telefonnummer.
Vi har kontaktat Google för kommentarer eftersom det var deras tvåfaktorsmeddelande som manipulerades, och vi kommer att uppdatera den här artikeln om vi får svar. Chris Lacy väljer att inte namnge operatören "av integritetsskäl", men det är viktigt att notera att detta kan hända på vilken operatör som helst om du använder SMS. När RCS väl har antagits och end-to-end-kryptering för textmeddelanden blir normen kommer detta inte längre att vara möjligt eftersom operatörerna inte kommer att kunna avgöra vilka meddelanden som innehåller tvåfaktorskoder och vilka som inte gör det.