雅默海盗威胁!广告出现在谷歌帐户两步验证短信中
JAKARTA - 克里斯莱西,商人谁经营澳大利亚移动应用程序开发公司行动启动器,星期二,6月29日,推特截图显示从谷歌两步验证覆盖的文字广告。考虑到这项服务不应该存在,这是可怕的。
谷歌最终的反应是说他们在插入广告中没有作用。Google 将调查如何将文本广告注入包含两步验证安全代码或可能发生的双重身份验证代码的短信中。
分两步验证中显示的代码是非常机密的。此代码仅应由用户和 Google 知道。如果其他人知道代码,甚至插入广告,它肯定成为一个问号,安全性有保证吗?
我刚刚收到谷歌的两个因素身份验证短信,其中包括一个广告。谷歌自己的消息短信应用程序标记为垃圾邮件。多么可耻的抢钱啊。pic.twitter.com/NeStIndR6q
-克里斯·莱西(@chrismlacy)2021年6月29日
"这不是谷歌的广告,我们也不会宽恕这种做法,"谷歌身份和安全平台产品管理高级总监马克·里舍(Mark Risher)在一条微博中写道。我们正在与移动运营商合作,了解为什么会出现这种情况,并确保这种情况不再发生。
莱西本人没有回应记者关于他职位置评的请求。它也没有说出所涉及的无线运营商的名称。
这位不愿透露姓名的网友还向信息安全媒体集团报告,称她在6月25日登录谷歌账户时也收到了同样的消息。
他还提供了一张截图,并说他与新加坡新加坡电信的子公司澳大利亚无线运营商Optus有一份后付费合同。此人表示,广告中的链接被重定向到销售VPN服务的杀毒供应商Avira。
为了关闭循环,这些不是谷歌广告,我们不宽恕这种做法。我们正在与无线运营商合作,了解发生这种情况的原因,并确保它不再发生。很高兴谷歌消息标记为不安全的🛑 https://t.co/MqSZgh1uUK
- 标记里舍(@mrisher)2021年6月29日
Optus发言人说,他的公司"没有注入信息,也不知道情况,但目前正在进一步调查这一事件。
与此同时,Avira的发言人表示,这些广告是由第三方广告合作伙伴在不知情的情况下投放的。Avira 及其广告合作伙伴现已"停止与发布广告的公司进行所有活动,因为它明显违反了合同的条款和条件。阿维拉自己拒绝透露公司或其广告合作伙伴的名称。
该公司的Jubir说:"Avira支持保护互联世界中人们的所有努力,包括尽可能利用双重身份验证。"我们感谢那些引起我们注意的广告的人。
澳大利亚另外两家主要运营商沃达丰和Telstra表示,它们不会将广告注入短信中。
而莱西还写道,她在登录她的谷歌旧电子邮件帐户后,通过短信收到了两步验证码。他写道,他并没有改变该帐户,通过身份验证器应用程序获取两步代码。
他的推文立即引发了谷歌的担忧。谷歌Chrome的工程经理阿德里安·波特·费尔特问两步代码是否有效。莱西回答说这是真的。
添加到安全消息的广告被认为有问题是有充分理由的。莱西指出,谷歌的反短信垃圾邮件功能捕获了该消息。
莱西在随后的一条微博中写道,广告注入的做法"削弱了对2FA的信任,降低了2FA消息的传递可能性。这真的很尴尬。
恶意软件字节的恶意软件情报分析师 Chris Boyd 写道,广告的显示方式引发了有关客户批准、涉及哪些广告网络以及其他人共享或查看哪些数据的问题。用户很难确定该链接是否为恶意。
博伊德在一篇博文中写道:"最坏的情况是,广告可能导致恶意网页或网络钓鱼网站。"没有多少方法可以损害使用短信代码作为额外安全层的声誉。
将商业命题与安全警报混合,甚至只是正常的浏览流量,到目前为止都被认为是不好的。
三年前,一组研究人员发现Facebook使用用户提供的电话号码,目的是接收两步验证码用于广告目的。Facebook 最终允许用户使用两步验证,而不必提供电话号码。
除了广告之外,还有一个强大的安全案例,可以将通过短信传到身份验证器应用的任何两步代码重定向。
到目前为止,短信尚未加密,运营商可以完全访问内容并可以修改内容。但是,通过短信接收两步验证码总比不激活要好,因为这样可以阻止帐户接管。但是,通过短信接收代码现在开始构成风险。
因为攻击者可以接管受害者的电话号码,在称为 SIM 交换或劫持的计划中接收他们的两步代码。
在这些攻击中,欺诈者假装是官方号码持有者,通常是通过欺骗移动运营商的客户服务代表,然后将号码转移到不同的 SIM 卡。