По-рано тази седмица австралийският разработчик Крис Лейси разказа в Twitter за любопитно свое преживяване, което е имал, докато влиза в свой рядко използван акаунт в Google. Когато системите на компанията му изпращат SMS съобщение с еднократен код за двуфакторно удостоверяване на достъпа до профила, кодът е бил придружен от реклама на VPN услуга. Като се има предвид сериозността на фишинг заплахите и растящата тенденция за разпространяване на злонамерен софтуер, подобни реклами, прикрепени към SMS, чиято функция е да повиши сигурността на потребителите, и то такива, които отговарят пряко за достъпа до профила ви, случая определено не звучи добре по отношение на онлайн безопасността.
Лейси не е посочил кой е мобилният оператор, който използва, нито на кой доставчик на VPN услуги е рекламата, а от своя страна старшият директор на Google Identity and Security Марк Ришър поясни, че рекламата не идва от неговата компания.
„Това не са наши реклами и в момента работим съвместно мобилните оператори и доставчиците на SMS услуги, които използваме, за да разберем защо се случва това.“, гласи официалното изявление на Google относно случая, който доби значителна популярност в социалните мрежи. Макар и приложението по подразбиране Messages в Android да е обозначило текстовото съобщение като спам и да е блокирало визуализацията на линка на VPN услугата, който е изпратен в съобщението, самото му наличие в SMS, който съдържа чувствителна информация и код за достъп до нечий акаунт, вече е притеснително. Все още не съществува отговор на въпроса дали някой е имал достъп до еднократния код, нито от къде точно се е взела тази реклама.
От популярния портал 9to5Google посочват, че в някои държави Google използва собствени услуги за доставка на SMS съобщенията за еднократна верификация на потребителските акаунти, но в повечето страни и региони, компанията разчита на външни доставчици за осъществяването на тези процеси – били те директни готови решения или разработени такива съвместно мобилните оператори. Към момента не сме чували други подобни истории, в които да се съдържа рекламно съобщение към съобщения за двуфакторно удостоверяване на профили, но на този етап RCS стандарта и криптирането на съобщенията от край до край не са широко разпространени, което дава потенциал и възможности за вграждане на съдържание в определени чувствителни съобщения, за което в много случаи никой не подозира, че се намира там.
Доверието в двуфакторното удостоверяване
Както вероятно добре знаете, двуфакторното удостоверяване на потребителските профили от години се препоръчва като най-добър вариант за защита на потребителската информация и надеждност на достъпа до чувствителни системи, като приемането му става все по-широко и повсеместно. Но случаи като този определено имат силата да разклатят доверието и в тази форма на защита и удостоверяване – поради което всички следим с интерес какво ще разкрие Google от своето разследване.