ผู้ให้บริการที่ไม่ปรากฏชื่อถูกสงสัยว่าอัดโฆษณาลงในข้อความ SMS สำหรับการตรวจสอบสิทธิ์แบบสองปัจจัยจาก Google
ผู้ให้บริการที่ไม่ปรากฏชื่อในออสเตรเลียถูกสงสัยว่าอัดโฆษณาลงในข้อความ SMS แบบสองปัจจัย ตามที่ Chris Lacy ผู้พัฒนา Action Launcher กล่าว ข้อความดังกล่าวแสดงรหัสยืนยันการลงชื่อเข้าใช้ Google ในแอป Google Messages ซึ่งน่าสนุกทีเดียว กระทั่งตั้งค่าสถานะข้อความว่าเป็นสแปมด้วยซ้ำ
สิ่งนี้เป็นไปได้เนื่องจากข้อความ SMS ไม่ได้เข้ารหัส ดังนั้นผู้ให้บริการของคุณสามารถอ่านข้อความทั้งหมดได้ การแทรกโฆษณาลงในข้อความ 2FA ช่วยให้มั่นใจได้ว่าผู้ใช้ปลายทางจะเห็นข้อความนั้นจริงๆ เนื่องจากสันนิษฐานว่าพวกเขาจะต้องใช้รหัสเพื่อเข้าถึงบริการใดก็ตามที่พวกเขากำลังลองใช้ เพื่อเข้าสู่ระบบ แม้ว่าจะเป็นการเคลื่อนไหวที่หลอกลวง แต่ก็เกิดขึ้นได้เนื่องจาก SMS มีการป้องกันที่ไม่ดี พนักงานจำนวนหนึ่งจาก Google เข้ามาบอกว่านี่เป็นเรื่องจริง ไม่ ทำโดย Google และน่าจะเป็นงานของผู้ให้บริการรายใดก็ตามที่ Chris Lacy ใช้อยู่ Mark Risher ผู้อำนวยการฝ่ายจัดการผลิตภัณฑ์ด้านข้อมูลประจำตัวและความปลอดภัยของผู้ใช้ของ Google บอกกับ Twitter ว่า "สิ่งเหล่านี้ไม่ใช่โฆษณาของ Google และเราไม่ ยอมรับการกระทำนี้” นอกจากนี้เขายังกล่าวอีกว่า Google กำลัง "ทำงานร่วมกับผู้ให้บริการระบบไร้สายเพื่อทำความเข้าใจว่าทำไมสิ่งนี้ถึงเกิดขึ้น และให้แน่ใจว่ามันจะไม่เกิดขึ้น อีกครั้ง."
แม้ว่าการใช้ SMS สำหรับการตรวจสอบสิทธิ์แบบสองปัจจัยนั้นไม่ปลอดภัยทางเทคนิค แต่สำหรับคนส่วนใหญ่ก็ไม่สำคัญ เป็นระดับการรักษาความปลอดภัยเพิ่มเติมที่สามารถเข้าถึงได้ง่ายและใช้งานง่ายสำหรับคนส่วนใหญ่ และดีกว่าไม่มีอะไรเลย คนส่วนใหญ่จะไม่สามารถใช้การตรวจสอบสิทธิ์แบบสองปัจจัยที่ใช้ฮาร์ดแวร์ได้อย่างสะดวก ซึ่งเป็นเหตุผลว่าทำไม 2FA ที่ใช้ SMS จึงยังคงใช้กันอย่างแพร่หลาย แม้ว่าการโจมตีด้วยการสลับ SIM จะเกิดขึ้น แต่สำหรับคนส่วนใหญ่ สิ่งเหล่านี้ไม่ใช่สิ่งที่พวกเขาจะต้องกังวล หากมีสิ่งใดสิ่งที่น่าประทับใจคือแอป Google Messages ยังคงรับรู้ว่าข้อความนั้นเป็นสแปมแม้ว่าจะส่งจากหมายเลขโทรศัพท์ของ Google ก็ตาม
เราได้ติดต่อ Google เพื่อขอความคิดเห็นเนื่องจากเป็นข้อความสองปัจจัยที่ถูกแก้ไข และเราจะอัปเดตบทความนี้หากได้รับการตอบกลับ Chris Lacy เลือกที่จะไม่ตั้งชื่อผู้ให้บริการว่า "ด้วยเหตุผลด้านความเป็นส่วนตัว" แต่สิ่งสำคัญที่ควรทราบคือสิ่งนี้อาจเกิดขึ้นกับผู้ให้บริการรายใดก็ได้หากคุณใช้ SMS เมื่อ RCS ได้รับการยอมรับอย่างกว้างขวางและ การเข้ารหัสจากต้นทางถึงปลายทางสำหรับข้อความ กลายเป็นบรรทัดฐาน ซึ่งจะไม่สามารถทำได้อีกต่อไปเนื่องจากผู้ให้บริการจะไม่สามารถระบุได้ว่าข้อความใดมีรหัสแบบสองปัจจัยและข้อความใดไม่มี