SMS jest nadal powszechnie używany. Pomimo tego, że ich zawartość nie jest zaszyfrowana, zwykle są najczęstszą drogą dla Weryfikacja dwuetapowa dla wszystkich rodzajów usług, w tym konta Google lub usług bankowych. Chociaż lepiej jest używać aplikacji uwierzytelniających, takich jak Google Authenticator , SMS służy jako ostatnia wiosna. Ale niektórych operatorów to nie obchodzi i umieszczają na nich reklamy.
Nie jest niczym niezwykłym otrzymywanie SMS reklamowy bezpośrednio na komórkę od wszelkiego rodzaju firm, które wykorzystują nasze dane do ich przesłania. Jednak do tej pory nie widzieliśmy, że operator zmodyfikował legalny SMS, aby umieścić na nim reklamę.
Prawdziwe reklamy SMS wysyłane przez operatorów
Zdarzyło się to Chris koronkowy , twórca aplikacji takich jak Action Launcher for Android. Ten programista poszedł do log na jedno z jego wielu kont Google, na które otrzymał SMS-a w aplikacji Wiadomości na swoim telefonie z Androidem. Jednak gdy zobaczył, że SMS nie dotarł, przeszedł do sekcji spamu i tam znalazł wiadomość.
Aktualizacja: niektórzy pracownicy Google włączyli się i wygląda na to, że część reklamy została dołączona przez mojego operatora do wiadomości Google dotyczącej weryfikacji dwuetapowej. https://t.co/4CGUOw3x2v
– Chris Lacy (@chrismlacy) 29 czerwca 2021 r.
Wiadomość widziana tak, jak na zdjęciu, wygląda jak wiadomość wysłana przez hakera, ponieważ wyświetla się kod weryfikacyjny, ale zaraz po nim wyświetla się reklama Avira Phantom VPN Pro , ich usługa VPN z 30% zniżką. Dołączenie tej reklamy do odpowiedniego linku sprawia, że aplikacja wyśle tego SMS-a bezpośrednio do folder spamu .
Pracownicy Google potwierdzają, że to operator
Niektórzy użytkownicy zaczęli spekulować, że robi to samo Google, ale kilku Pracownicy Google powiedział im, że nic nie jest dalsze od prawdy: to operator użytkownika, którego nazwisko nie zostało ujawnione, modyfikuje SMS. Operator może odczytać całą treść SMS-a, ponieważ nie są one zaszyfrowane, a dzięki temu może również modyfikować jego treść, jak widzimy w tym przypadku.
Google od kilku lat naciska na operatorów, aby przenieśli się do RCS , ich ulepszony system SMS, za pomocą którego chcieli walczyć z aplikacjami do przesyłania wiadomości. RCS również nie miał domyślnie szyfrowania, ale presja użytkowników sprawiła, że Google w końcu wprowadził je w listopadzie ubiegłego roku.
Niestety system ten jest używany tylko wśród użytkowników, którzy mają aktywowane telefony komórkowe i operatorów obsługujących RCS, a większość komunikacji firmowej z użytkownikami nadal odbywa się za pomocą SMS-ów. A ten operator nie tylko psuje wiarygodność weryfikacji dwuetapowej, ale także uniemożliwia jej dotarcie do użytkownika i zmusza go do sprawdzenia folderu ze spamem.
