SMS ist heute noch weit verbreitet. Trotz der Tatsache, dass ihr Inhalt nicht verschlüsselt ist, sind sie normalerweise die häufigste Route für Bestätigung in zwei Schritten für alle Arten von Diensten, einschließlich des Google-Kontos oder der Bankdienste. Obwohl es besser ist, Authentifizierungs-Apps wie zu verwenden Google Authenticator , SMS dient als letztes Frühjahr. Aber einigen Betreibern ist das egal, und sie schalten Werbung auf sie.
Es ist nicht ungewöhnlich, zu erhalten Werbe-SMS direkt auf dem Handy von allen Arten von Unternehmen, die unsere Daten nutzen, um sie zu senden. Was wir jedoch bisher noch nicht gesehen hatten, war, dass ein Betreiber eine legitime SMS modifiziert hat, um Werbung darauf einzufügen.
Echte SMS-Anzeigen von Betreibern by
Das ist passiert Chris Spitzen , Entwickler von Anwendungen wie Action Launcher für Android. Dieser Entwickler ging zu Log in eines seiner mehreren Google-Konten, für die er eine SMS in der Nachrichtenanwendung seines Android-Handys erhalten hat. Als er jedoch sah, dass die SMS nicht ankam, ging er in den Spam-Bereich und fand dort die Nachricht.
Update: Einige Google-Mitarbeiter haben sich angemeldet und es sieht so aus, als ob der Anzeigenteil von meinem Mobilfunkanbieter an die 2FA-Nachricht von Google angehängt wurde. https://t.co/4CGUOw3x2v
– Chris Lacy (@chrismlacy) 29. Juni 2021
Die Nachricht, wie sie auf dem Foto zu sehen ist, sieht aus wie eine Nachricht, die von einem Hacker gesendet wurde, da der Bestätigungscode angezeigt wird, aber gleich danach eine Werbung für Avira-Phantom VPN Pro , ihren VPN-Dienst mit 30% Rabatt. Durch die Einbindung dieser Anzeige mit dem entsprechenden Link sendet die App diese SMS direkt an die Spam-Ordner .
Google-Mitarbeiter bestätigen, dass es der Betreiber ist
Einige Benutzer begannen zu spekulieren, dass es Google selbst war, aber mehrere Google-Mitarbeiter haben ihnen gesagt, dass nichts weiter von der Wahrheit entfernt ist: Es ist der Betreiber des Benutzers, dessen Name nicht bekannt ist, der die SMS ändert. Der Betreiber kann den gesamten Inhalt der SMS lesen, da diese nicht verschlüsselt sind, und kann damit auch seinen Inhalt ändern, wie wir in diesem Fall sehen.
Google drängt Betreiber seit mehreren Jahren, den Wechsel zu RCS , ihr verbessertes SMS-System, mit dem sie gegen Messaging-Apps kämpfen wollten. Auch RCS hatte standardmäßig keine Verschlüsselung, aber der Druck der Nutzer führte dazu, dass Google sie im November letzten Jahres endlich einführte.
Leider wird dieses System nur von Benutzern verwendet, die mit RCS kompatible Mobiltelefone und Netzbetreiber aktiviert haben, und der Großteil der Unternehmenskommunikation mit Benutzern wird immer noch per SMS abgewickelt. Und dieser Betreiber schadet nicht nur der Glaubwürdigkeit der zweistufigen Verifizierung, sondern verhindert auch, dass sie beim Nutzer ankommt und zwingt ihn, den Spam-Ordner zu prüfen.
