As mensagens de texto - vulgo SMS - são um dos meios mais comuns para mediar a autenticação em dois fatores - 2FA. São usadas, por exemplo, quando iniciamos sessão num determinado serviço através do computador e o código de verificação é enviado, por SMS, para o nosso dispositivo móvel.
Por outro lado, apesar de serem amplamente utilizadas, não são propriamente o meio mais seguro para mediar este tipo de autenticação. Aliás, o simples facto de uma operadora de telecomunicações ter efetivamente injetado publicidade nestas mensagens que se esperam seguras e automáticas, só vem atestar a imperfeição deste meio.
Operadora de telecomunicações colocou publicidade nas SMS's
A situação foi detetada por vários utilizadores entre os quais destacamos a publicação feita no Twitter por Chris Lacy, programador responsável pelo popular Action Launcher para Android. Aí, o autor afirma ter recebido duas SMS de autenticação da Google que a própria aplicação Mensagens da Google sinalizou como SPAM.
Veja-se, no tweet acima, que a SMS de autenticação contém uma referência e ligação (link) para serviços de VPN. A mensagem faz-se acompanhar do endereço URL encurtado para ser possível aceder ao produto em causa.
O que foi inicialmente atribuído a um lapso possivelmente atribuível à Google, já veio, entretanto a ser desmentido pela gigante tecnológica. Por outras palavras, a Google confirmou que a ação partiu da operadora de telecomunicações e não dos seus serviços.
"Estes não são os nossos anúncios e trabalhamos atualmente junto da operadora para perceber porque é que isto aconteceu", afirmou um representante da Google comentando o caso.
Descartando culpas, a Google aponta para a operadora na Austrália
A primeira suspeita foi uma campanha de phishing, a utilização indevida da identidade de uma empresa ou entidade com o intuito de recolher dados de login e autenticação dos utilizadores. Tal não viria a ser o caso uma vez que o código de autenticação contido na SMS funcionava corretamente para entrar, por exemplo, nos serviços Google como o Gmail.
Assim, pouco após a primeira exposição do caso, alguns colaboradores da Google, os googlers, garantiram que tal prática não era proveniente da gigante das pesquisas. Com efeito, é altamente improvável que as equipas de segurança da Google tolerassem tal prática, ou tivessem, por lapso, não reparado em tal "erro".
Importa frisar que estas SMS de verificação para a autenticação num serviço são extremamente sensíveis. O seu conteúdo não deve ser partilhado com ninguém sob risco de apropriação indevida da conta em questão. Em síntese, a estas SMS's tem que subjazer uma confiança inviolável, algo que acaba de ser posto em causa.
O caso ocorreu na Austrália e está agora a ser investigado pela Google. A problemática é gravosa e põe em causa parte integrante de um meio extremamente popular de autenticação.
Editores 4gnews recomendam:
- MIUI 13: atualização mais esperada chega em agosto a estes smartphones Xiaomi
- Xiaomi Mi Notebook Pro X: o novo portátil de luxo que vais querer comprar em 2021
- Xiaomi Mi TV 6 Extreme Edition: Smart TV de 55 polegadas por 780 €
