Miks on probleem operaatorid, kes kasutavad reklaamide kuvamiseks Google'i 2FA SMS-sõnumeid?

Rakendused/veebisaidid kasutavad sageli SMS-sõnumeid kahefaktoriliste autentimiskoodide saatmiseks ja kahjuks tundub, et üks operaator kaaperdab Google2FA tekste sundida reklaame inimestele peale. Tundub, et probleem piirdub ühe Austraalia operaatoriga, kuid sellest hoolimata pole see midagi, mis oleks pidanud juhtuma.

Kahefaktoriline autentimine (mida sageli nimetatakse 2FA-ks) on üks parimaid funktsioone, mida keegi saab mis tahes veebikonto jaoks kasutada. 2FA-ga tagatud kontole sisselogimisel saadetakse kasutajatele juhuslik kood, mis tuleb enne juurdepääsu saamist sisestada – isegi kui neil on õige parool. Seda koodi saab hankida ainult tekstisõnumi või spetsiaalse 2FA-rakenduse kaudu, nii et kui kellelgi pole selle teksti või rakendusega telefoni, pole kontole juurdepääs.

Kahjuks kuritarvitab üks tüütu vedaja neid 2FA tekstid et sundida reklaame kasutajatele peale suruma. 29. juunil arendaja Chris Lacy jagas ekraanipilt 2FA-koodist, mille ta sai Google'ilt. Koodi järel näitas tekst 

"SMS-REKLAAM: hoidke häkkerid eemal, hankige VPN juba täna" — millele järgneb reklaamitava VPN-i URL. Lacy märgib, et rakendus Google Messages märkis teksti rämpspostina, kuigi see pärines legitiimselt Google 2FA numbrilt, mille tulemuseks oli segane olukord. Google'i töötaja hiljem reageeris sellele olukorrale, öeldes: "Need ei ole Google'i reklaamid ja me ei salli seda tava. Teeme koostööd traadita side operaatoriga, et mõista, miks see juhtus, ja tagada, et see ei korduks."

Miks on reklaamid kahefaktorilistes tekstides suur probleem?

See peaks olema ütlematagi selge, aga reklaame süstima 2FA-koodidesse see pole midagi, mida ükski vedaja peaks tegema. 2FA-koodid on olemas selleks, et saada inimesi oma kontodele ja ei midagi muud – see ei ole avatud kutse teisele ettevõttele kellelegi reklaami teha. Tehniliselt on see võimalus olemas, sest SMS-tekstid on krüptimata ja operaatorid saavad neid lugeda, kuid see ei muuda seda õigeks.

On täiesti võimalik, et see reklaam oli juhus ja see ei olnud mõeldud 2FA-tekstis, kuid kui see nii ei olnud, pole võimalik öelda, kui kaugele need reklaamid võivad ulatuda. Kui operaator näeb, et keegi saab oma kindlustuse sisselogimisel 2FA-koodi, võib ta seda kasutada, et sihtida kedagi teise teenusepakkuja reklaamiga. Lisaks sellele, kui reklaamidega 2FA-tekstid märgitakse rämpspostiks Google Messages, põhjustab see kindlasti selle, et inimesed ei näe oma koode ja neil on probleeme kontole pääsemisega. Igas olukorras on see halb samm, mis ei saa saada Austraalia, USA või mõne muu riigi vedajate jaoks normiks.

Õnneks pole praegu tõendeid selle kohta, et sellest on saanud tööstusstandard. Google on selgelt Lacy saadud teksti vastu, muid näiteid pole jagatud ja Google teeb tõenäoliselt kõik endast oleneva, et see konkreetne operaator seda enam ei teeks. Loodame, et see tegelikult juhtub, sest maailm, kus reklaamid on 2FA tekstisõnumite norm, ei ole põnev.

Allikas: Chris Lacy, Mark Risher

Florence Pugh reageerib musta lese Halloweeni kostüümide väljapanekule, välja arvatud Jelena

Autori kohta