Viele große Apps und Plattformen erinnern die Nutzer aus Sicherheitsgründen regelmäßig an die Zwei-Faktor-Authentifizierung oder setzen diese in einigen Fällen auch schon als Standard voraus. Eine der nach wie vor populärsten Wege dürfte die Verifizierung per SMS sein, die auch von Google angeboten wird. Nun ist ein Fall bekannt geworden, bei dem von unbekannter Stelle Werbung in diese Bestätigung eingefügt wurde. Eine potenzielle Sicherheitslücke?



Google hat die Bestätigung in zwei Schritten mittlerweile zum Standard gemacht und bietet für diese zusätzliche Sicherheit diverse Lösungen an – unter anderem die Verifizierung per SMS. Gerade erst gab es neue Features für die OTPs in Google Messages und nun sorgt eine bei Twitter veröffentlichte Meldung für Aufsehen: Bei einem Nutzer ist direkt in der Nachricht mit dem Bestätigungs-Code eine Werbeanzeige inklusive Link aufgetaucht.

Wie ihr seht, handelt es sich dabei um die Standard-SMS von Google, die authentisch ist und vom gleichen Absender wie in anderen Fällen stammt. Laut Aussagen des Nutzers soll er diesen Code wie üblich wenige Sekunden zuvor angefordert haben und der empfangene Code soll funktioniert – also den Login abgeschlossen – haben. Alles gut, aber direkt an der Nachricht dran erscheint noch eine Werbebotschaft mit kurzem Text, einem Link sowie dem Hinweis “SMS AD”.









Der Nutzer verdächtigte zuerst Googles Sicherheitssystem oder den Messenger Google Messages, doch das Unternehmen hatte sich sehr schnell gemeldet und klargestellt, dass man dafür nicht verantwortlich ist. Und damit bleiben dann nur noch drei Möglichkeiten: Entweder wurde es direkt vom Netzbetreiber eingefügt oder der Nutzer hat sich eine Malware eingefangen, die die eingehenden Nachrichten auf dem Smartphone verändern kann. Die dritte Variante, die ich aufgrund der Fachkenntnis von Chris Lacey (Entwickler des populären Action Launcher), aber ausschließen würde: Er ist auf Scam hereingefallen und hat sich auf einer gefälschten Google-Seite einloggen wollen.

Google ist derzeit an der Sache dran und es wurde leider nicht bekannt, um welchen Netzbetreiber es sich handelt. So lange es nur den Verdacht und keinen Beweis gibt, ist das vielleicht auch besser so. Es ist unklar, wie das Ganze entstanden ist: Hat der Nutzer einen sehr günstigen Betreiber gefunden, der solche Werbebotschaften an SMS anhängen kann und sich dies auch vertraglich zugesichert hat? Ist bei ausgehenden E-Mails ja bekanntlich auch heute noch bei vielen Anbietern so. Nur dass es hier um eingehende Nachrichten geht. Dass es eine OTP-SMS getroffen hat, kann reiner Zufall sein.

Es soll sich übrigens um einen Netzbetreiber aus Australien handeln. Kleines Detail: Die URL in der SMS existiert nicht. Zumindest kann ich sie aus Österreich nicht aufrufen.

