JAKARTA - Chris Lacy, l’homme d’affaires qui dirige la société australienne de développement d’applications mobiles Action Launcher, mardi 29 juin, a tweeté une capture d’écran montrant une vérification en deux étapes de Google couverte d’annonces textuelles. C’est horrible, étant donné que ce service n’est pas censé exister.
Google a finalement réagi en déclarant qu’ils n’avaient aucun rôle dans l’insertion de l’annonce. Google étudiera comment les annonces textuelles peuvent être injectées dans les messages SMS contenant des codes de sécurité de vérification en deux étapes ou des codes d’authentification à deux facteurs qui peuvent se produire.
Le code qui apparaît dans la vérification en deux étapes est quelque chose de très confidentiel. Ce code ne doit être connu que par l’utilisateur et Google. Si quelqu’un d’autre connaît le code, même en insérant des annonces, cela devient certainement un point d’interrogation, la sécurité est-elle garantie?
Je viens de recevoir un SMS d’authentification à deux facteurs de Google qui comprenait une annonce. La propre application Messages SMS de Google l’a signalé comme spam. Quelle honte d’emparer d’argent. pic.twitter.com/NeStIndR6q
— Chris Lacy (@chrismlacy) 29 juin 2021
« Ce n’est pas une annonce Google, et nous ne tolérons pas cette pratique », peut-on lire dans un tweet de Mark Risher, directeur principal de la gestion des produits pour la plateforme d’identité et de sécurité de Google. « Nous travaillons avec les opérateurs mobiles pour comprendre pourquoi cela se produit et nous assurer que cela ne se reproduise plus. »
Lacy, lui-même, n’a pas répondu à une demande de commentaire sur son post. Il n’a pas non plus nommé les entreprises de services sans fil en cause.
L’internaute, qui a demandé à ne pas être nommée, a également signalé à l’Information Security Media Group, indiquant qu’elle avait également reçu le même message le 25 juin alors qu’elle était connecté à son compte Google.
Il a également fourni une capture d’écran et a déclaré qu’il avait un contrat postpayé avec l’opérateur sans fil australien Optus, une filiale de Singtel de Singapour. Cette personne a déclaré que le lien dans l’annonce a été redirigé vers le fournisseur d’antivirus Avira, qui vend des services VPN.
Pour boucler la boucle, ce ne sont pas des annonces Google et nous ne tolérons pas cette pratique. Nous travaillons avec l’opérateur sans fil pour comprendre pourquoi cela s’est produit et nous assurer que cela ne se reproduise plus. Heureux que Google Messages l’ait signalé comme dangereux 🛑 https://t.co/MqSZgh1uUK
— mark risher (@mrisher) 29 juin 2021
Un porte-parole d’Optus a déclaré que son entreprise « n’a pas injecté de message et n’est pas au courant de la situation, mais enquête maintenant plus avant sur cet incident ».
Pendant ce temps, un porte-parole d’Avira a déclaré que les annonces avaient été placées par des partenaires publicitaires tiers à leur insu. Avira et ses partenaires publicitaires ont maintenant « cessé toute activité avec la société qui a publié la publicité, car elle viole clairement les termes et conditions du contrat ». Avira elle-même a refusé de nommer l’entreprise ou ses partenaires publicitaires.
« Avira soutient tous les efforts visant à protéger les personnes dans le monde connecté, y compris l’utilisation de l’authentification à deux facteurs lorsque cela est possible », a déclaré Jubir de la société. « Nous remercions les personnes qui ont porté l’annonce à notre attention. »
Deux autres grands opérateurs australiens, Vodafone et Telstra, disent qu’ils n’injectent pas de publicités dans les messages texte.
Alors que Lacy a également écrit qu’elle a reçu un code de vérification en deux étapes par SMS après s’être connecté à son ancien compte de messagerie Google. Il a écrit qu’il n’avait pas modifié ce compte pour obtenir le code en deux étapes via une application d’authentification.
Son tweet a immédiatement suscité les inquiétudes de Google. Adrienne Porter Felt, responsable de l’ingénierie pour Google Chrome, a demandé si le code en deux étapes fonctionnait. Lacy a répondu que c’était vrai.
Il y a une bonne raison pour laquelle les publicités ajoutées aux messages de sécurité sont considérées comme problématiques. Lacy a noté que la fonction anti-spam SMS de Google capture le message.
Lacy a écrit dans un tweet ultérieur que la pratique de l’injection de publicité « érode la confiance dans 2FA et rend les messages 2FA moins susceptibles d’être livrés. C’est vraiment embarrassant.
Chris Boyd, analyste de l’intelligence des logiciels malveillants chez Malwarebytes, écrit que la façon dont les annonces sont affichées soulève des questions sur l’approbation des clients, quels réseaux publicitaires sont impliqués et quelles données les autres partagent ou voient. Il est difficile pour les utilisateurs de déterminer si le lien est malveillant.
« Dans le pire des cas, les publicités pourraient conduire à des pages malveillantes ou à des sites de phishing », a écrit Boyd dans un billet de blog. « Il n’y a pas beaucoup de façons de nuire à la réputation de l’utilisation des codes SMS comme couche de sécurité supplémentaire. »
Mélanger des propositions commerciales avec des alertes de sécurité ou même juste le trafic de navigation normal jusqu’à présent n’est pas considéré comme bon.
Il y a trois ans, un groupe de chercheurs a constaté que Facebook utilisait des numéros de téléphone fournis par des utilisateurs visant à recevoir des codes de vérification en deux étapes à des fins publicitaires. Facebook permet éventuellement aux utilisateurs d’utiliser la vérification en deux étapes sans avoir à fournir leur numéro de téléphone.
En plus de la publicité, il existe de solides arguments de sécurité pour rediriger tout code en deux étapes fourni par SMS vers une application d’authentification.
Les messages SMS ont jusqu’à présent été non chiffrés, et les opérateurs ont un accès complet au contenu et peuvent modifier le contenu. Mais recevoir un code de vérification en deux étapes par SMS est préférable à ne pas l’activer, car cela peut arrêter les prises de contrôle de compte. Cependant, la réception de codes par SMS commence maintenant à poser un risque.
Parce que les attaquants peuvent prendre en charge le numéro de téléphone de la victime pour recevoir leur code en deux étapes dans un schéma connu sous le nom d’échange de sim ou de détournement.
Dans ces attaques, les fraudeurs prétendent être des détenteurs officiels de numéros, souvent en trompant les représentants du service client chez les opérateurs mobiles, puis en transférant le numéro sur une autre carte SIM.
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)