SMS широко считается небезопасной формой двухфакторной аутентификации, и появился еще один пример этого. Похоже, оператор встраивает рекламу в код подтверждения Google, используемый для входа в такие сервисы, как Gmail.
Обновление 29.06: Сегодня Google предоставил нам следующее заявление:
«Это не наша реклама, и в настоящее время мы работаем с оператором беспроводной связи, чтобы понять, почему это произошло».
Google подтверждает, что «SMS AD» не исходит из его собственной рекламной сети. Тем временем он работает с соответствующим оператором беспроводной связи, чтобы выяснить, что произошло. Лейси решил «не называть оператора из соображений конфиденциальности», и Google также не предоставил этой информации.
Оригинал 28.06: Разработчик Action Launcher Крис Лейси сегодня написал в Твиттере, как его код подтверждения Google — который начинается с «G-» — содержал «SMS AD». Реклама — для VPN — включает краткое сообщение и короткий URL-адрес.
Для тех, кто сразу подозревает, что это попытка фишинга, код подтверждения является подлинным и был запрошен Лейси для успешного подтверждения попытки входа. Google Messages даже пометил ссылку/сообщение как спам.
Таким образом, сотрудники Google, отвечая на ветку, предполагают, что это случай, когда оператор добавляет рекламу — обратите внимание на дополнительные пробелы — в реальное текстовое сообщение. Очень маловероятно, что команды безопасности Google разрешили бы рекламу в очень важную часть процесса входа, где доверие конечного пользователя имеет первостепенное значение.
Учитывая релевантность рекламы теме сообщения, возможно, происходит некоторое таргетирование, что делает все это еще более подозрительным. В кратком тестировании сегодня вечером мы не смогли воспроизвести SMS-рекламу, в то время как нет местных сообщений о том, что это происходит с другими пользователями. В некоторых странах, например, в США, Google использует «Verified SMS» в приложении «Сообщения» для аутентификации «идентичности бизнеса, отправившего сообщение».
Google проводит расследование и изучает вопрос о добросовестном (австралийском) операторе. Мы также связались с компанией для получения более подробной информации и подтверждения того, что она не добавляет «SMS AD» в процесс проверки кода.
Что касается двухэтапной проверки, Google только сегодня объявил, что требует от разработчиков Play Store включить 2SV в свои учетные записи в этом году. Он также отказывается от текстовых сообщений в качестве метода аутентификации учетной записи. Предпочтительной альтернативой является физический или ключ безопасности телефона, в то время как метод Google Prompt также считается более безопасным.