Невстановлений оператор підозрюється у вставці реклами в SMS-повідомлення двофакторної аутентифікації від Google.
За словами Кріса Лейсі, розробника Action Launcher, невідомого оператора в Австралії підозрюють у вставці реклами в двофакторні SMS-повідомлення. У тексті показано код підтвердження входу Google у програмі Google Messages, яка, як не дивно, навіть позначила текст як спам.
Це можливо тому, що SMS-повідомлення незашифровані, і тому ваш оператор може прочитати їх усі. Введення реклами в тексти 2FA гарантує, що кінцевий користувач дійсно побачить реклама, оскільки передбачається, що їм потрібно буде використовувати код для доступу до будь-якої служби, яку вони намагаються щоб увійти в систему. Хоча це абсолютно поганий крок, це стало можливим через те, наскільки погано захищені SMS. Кілька співробітників Google підключилися, щоб сказати, що це точно так ні зроблено Google і що це, ймовірно, робота оператора, якого використовує Кріс Лейсі. Марк Рішер, директор із управління продуктами ідентифікації та безпеки користувачів у Google, написав у Twitter, що «це не реклама Google, і ми не Крім того, він каже, що Google «працює з оператором бездротового зв’язку, щоб зрозуміти, чому це сталося, і переконатися, що цього не станеться». знову."
Хоча використання SMS для двофакторної автентифікації є технічно небезпечним, для більшості людей це насправді не має значення. Це додатковий рівень безпеки, який легко доступний і простий у використанні для більшості людей, і це краще, ніж нічого. Більшість людей не зможуть зручно використовувати апаратну двофакторну автентифікацію, тому 2FA на основі SMS досі так широко використовується. Хоча атаки на заміну SIM-карти існують, для більшості людей їм не варто турбуватися про них. Однак вражає те, що програмі Google Messages вдалося визначити, що повідомлення було спамом, навіть якщо воно було надіслано з телефонного номера Google.
Ми звернулися до Google за коментарем, оскільки їх двофакторне повідомлення було підроблено, і ми оновимо цю статтю, якщо отримаємо відповідь. Кріс Лейсі вирішив не називати оператора «з міркувань конфіденційності», але важливо зазначити, що це може статися з будь-яким оператором, якщо ви використовуєте SMS. Як тільки RCS буде широко прийнято і наскрізне шифрування для текстових повідомлень стане нормою, це більше не буде можливо, оскільки оператори не зможуть визначити, які повідомлення містять двофакторні коди, а які ні.