Operatörün iki faktörlü SMS mesajlarına reklam yerleştirdiğinden şüpheleniliyor

Action Launcher'ın geliştiricisi Chris Lacy'ye göre, Avustralya'daki kimliği belirsiz bir operatörün iki faktörlü SMS mesajlarına reklam enjekte ettiğinden şüpheleniliyor. Metin, Google Mesajlar uygulamasında, yeterince komik olan, metni spam olarak bile işaretleyen bir Google oturum açma doğrulama kodunu gösteriyor.

Bu mümkündür çünkü SMS mesajları şifrelenmemiştir ve bu nedenle operatörünüz bunların hepsini okuyabilir. 2FA metinlerine reklam enjekte etmek, son kullanıcının reklamı gerçekten görmesini sağlar. reklam, denedikleri hizmete erişmek için kodu kullanmaları gerekeceği varsayılıyor oturum açmak için. Kesinlikle alçakça bir hareket olsa da, SMS'in ne kadar zayıf korunduğu nedeniyle mümkün oldu. Google'dan bazı çalışanlar bunun kesinlikle geçerli olduğunu söylemek için iletişime geçtiler. Olumsuz Google tarafından yapıldığını ve muhtemelen Chris Lacy'nin kullandığı operatörün işi olduğunu söyledi. Google Kimlik ve Kullanıcı Güvenliği Ürün Yönetimi Direktörü Mark Risher, Twitter'da şunları söyledi: "Bunlar Google reklamları değil ve biz bunları yapmıyoruz. Bu uygulamaya göz yumuyorum." Ayrıca, Google'ın "bunun neden olduğunu anlamak ve olmamasını sağlamak için kablosuz iletişim operatörüyle birlikte çalıştığını" söylüyor. Tekrar."

İki faktörlü kimlik doğrulama için SMS kullanmak teknik olarak güvenli olmasa da çoğu kişi için bunun hiçbir önemi yoktur. Çoğu insan için kolayca erişilebilen ve kullanımı basit olan ekstra bir güvenlik düzeyidir ve hiç yoktan iyidir. Çoğu kişi donanım tabanlı iki faktörlü kimlik doğrulamayı rahatlıkla kullanamayacaktır, bu nedenle SMS tabanlı 2FA hala bu kadar yaygın olarak kullanılmaktadır. SIM değiştirme saldırıları mevcut olsa da çoğu insan için endişelenmeleri gerekmeyecek bir şey değil. Yine de Google Mesajlar uygulamasının, bir Google telefon numarasından gönderilmiş olmasına rağmen mesajın spam olduğunu algılamayı başarması etkileyici.

İki faktörlü mesajlarının tahrif edilmesi nedeniyle yorum almak için Google'a ulaştık ve bir yanıt alırsak bu makaleyi güncelleyeceğiz. Chris Lacy, "gizlilik nedenleriyle" operatöre isim vermemeyi seçiyor ancak SMS kullanıyorsanız bunun herhangi bir operatörde olabileceğini unutmamak önemlidir. RCS geniş çapta benimsendikten ve kısa mesajlar için uçtan uca şifreleme Bu artık norm haline geldiğinde, operatörler hangi mesajların iki faktörlü kod içerdiğini ve hangilerinin içermediğini belirleyemeyeceği için bu artık mümkün olmayacak.