Le SMS est encore largement utilisé aujourd'hui. Bien que leur contenu ne soit pas crypté, ils constituent généralement la voie la plus courante pour Vérification en deux étapes pour tous types de services, y compris le compte Google ou les services bancaires. Bien qu'il soit préférable d'utiliser des applications d'authentification comme Authentificateur Google , SMS sert de dernier ressort. Mais certains opérateurs s'en moquent, et ils mettent de la publicité dessus.
Il n'est pas rare de recevoir SMS publicitaires directement sur le mobile de toutes sortes d'entreprises qui profitent de nos données pour les envoyer. Cependant, ce que nous n'avions pas vu jusqu'ici, c'est qu'un opérateur a modifié un SMS légitime pour y insérer de la publicité.
Annonces SMS réelles postées par les opérateurs
Cela est arrivé à Chris dentelle , développeur d'applications telles que Action Launcher pour Android. Ce développeur est allé à enregistrer dans l'un de ses multiples comptes Google, pour lequel il a reçu un SMS dans l'application Messages de son mobile Android. Cependant, lorsqu'il a vu que le SMS n'arrivait pas, il est allé dans la section spam, et là, il a trouvé le message.
Mise à jour : certains Googlers ont sonné et il semble que la partie publicitaire ait été ajoutée par mon opérateur au message 2FA de Google. https://t.co/4CGUOw3x2v
– Chris Lacy (@chrismlacy) Le 29 juin 2021
Le message, tel qu'il apparaît sur la photo, ressemble à un message envoyé par un pirate, car le code de vérification est affiché, mais juste après l'affichage d'une publicité pour Avira Phantom VPN Pro , leur service VPN avec 30% de réduction. L'inclusion de cette annonce avec le lien correspondant permet à l'application d'envoyer ce SMS directement au dossier de spam .
Les employés de Google confirment qu'il s'agit de l'opérateur
Certains utilisateurs ont commencé à spéculer que c'était Google lui-même qui faisait cela, mais plusieurs Google travailleurs leur ont dit que rien n'est plus faux : c'est l'opérateur de l'utilisateur, dont le nom n'a pas transpiré, qui modifie le SMS. L'opérateur peut lire tout le contenu du SMS, car ceux-ci ne sont pas cryptés, et avec cela il peut également modifier son contenu comme on le voit dans ce cas.
Google pousse depuis plusieurs années les opérateurs à passer à RCS , leur système SMS amélioré avec lequel ils voulaient lutter contre les applications de messagerie. RCS n'avait pas non plus de cryptage par défaut, mais la pression des utilisateurs a finalement conduit Google à l'introduire en novembre dernier.
Malheureusement, ce système n'est utilisé que parmi les utilisateurs qui ont des téléphones mobiles et des opérateurs compatibles avec le RCS activés, et la majorité des communications de l'entreprise avec les utilisateurs se font encore par SMS. Et cet opérateur non seulement nuit à la crédibilité de la vérification en deux étapes, mais l'empêche également d'atteindre l'utilisateur et l'oblige à vérifier le dossier spam.
