Operadora injetou publicidade em SMS de autenticação da Google

Rui Bacelar
Comentar

As mensagens de texto - vulgo SMS - são um dos meios mais comuns para mediar a autenticação em dois fatores - 2FA. São usadas, por exemplo, quando iniciamos sessão num determinado serviço através do computador e o código de verificação é enviado, por SMS, para o nosso dispositivo móvel.

Por outro lado, apesar de serem amplamente utilizadas, não são propriamente o meio mais seguro para mediar este tipo de autenticação. Aliás, o simples facto de uma operadora de telecomunicações ter efetivamente injetado publicidade nestas mensagens que se esperam seguras e automáticas, só vem atestar a imperfeição deste meio.

Operadora de telecomunicações colocou publicidade nas SMS's

I just received a two factor authentication SMS from Google that included an ad. Google's own Messages SMS app flagged it as spam.What a shameful money grab. pic.twitter.com/NeStIndR6q

— Chris Lacy (@chrismlacy) 29 de junho de 2021

A situação foi detetada por vários utilizadores entre os quais destacamos a publicação feita no Twitter por Chris Lacy, programador responsável pelo popular Action Launcher para Android. Aí, o autor afirma ter recebido duas SMS de autenticação da Google que a própria aplicação Mensagens da Google sinalizou como SPAM.

Veja-se, no tweet acima, que a SMS de autenticação contém uma referência e ligação (link) para serviços de VPN. A mensagem faz-se acompanhar do endereço URL encurtado para ser possível aceder ao produto em causa.

O que foi inicialmente atribuído a um lapso possivelmente atribuível à Google, já veio, entretanto a ser desmentido pela gigante tecnológica. Por outras palavras, a Google confirmou que a ação partiu da operadora de telecomunicações e não dos seus serviços.

"Estes não são os nossos anúncios e trabalhamos atualmente junto da operadora para perceber porque é que isto aconteceu", afirmou um representante da Google comentando o caso.

Descartando culpas, a Google aponta para a operadora na Austrália

Update: some Googlers have chimed in and it looks like the ad portion was appended by my carrier to Google's 2FA message.https://t.co/4CGUOw3x2v

— Chris Lacy (@chrismlacy) 29 de junho de 2021

A primeira suspeita foi uma campanha de phishing, a utilização indevida da identidade de uma empresa ou entidade com o intuito de recolher dados de login e autenticação dos utilizadores. Tal não viria a ser o caso uma vez que o código de autenticação contido na SMS funcionava corretamente para entrar, por exemplo, nos serviços Google como o Gmail.

Assim, pouco após a primeira exposição do caso, alguns colaboradores da Google, os googlers, garantiram que tal prática não era proveniente da gigante das pesquisas. Com efeito, é altamente improvável que as equipas de segurança da Google tolerassem tal prática, ou tivessem, por lapso, não reparado em tal "erro".

Importa frisar que estas SMS de verificação para a autenticação num serviço são extremamente sensíveis. O seu conteúdo não deve ser partilhado com ninguém sob risco de apropriação indevida da conta em questão. Em síntese, a estas SMS's tem que subjazer uma confiança inviolável, algo que acaba de ser posto em causa.

O caso ocorreu na Austrália e está agora a ser investigado pela Google. A problemática é gravosa e põe em causa parte integrante de um meio extremamente popular de autenticação.

Editores 4gnews recomendam:

Rui Bacelar
Rui Bacelar
Na escrita e comunicação repousa o gosto, nas leis a formação. É na tecnologia que encontrou o seu expoente máximo e na 4gnews a plataforma ideal para a redação e produção de vídeo.