Tekniknyheter

Sms-kapning får Google att höja säkerheten

Googles telefon Pixel. Foto: All over press

Google slutar med engångskoder via sms. Orsaken: Ett fel i signalsystemet gör att skurkar kan stjäla textmeddelanden.

Publicerad

(Texten har uppdaterats)

Tvåfaktorsautentisering lyfts ofta fram som en snabb och lättanvänd lösning för att göra våra internetkontot säkrare. Det innebär i praktiken att du behöver få en engångskod skickad till dig för att kunna logga in hos exempelvis Apple eller Google i mobilen eller på datorn.

Det amerikanska sökföretaget har bland annat använt sms som metod för att skicka ut koderna till användarna. 

Tekniken för att skicka ut dessa sms bygger på en uppsättning protokoll för kommunikation mellan telefonnätverk som kallas Signalsystem 7, SS7.

Men sedan en tid tillbaka har säkerhetsexperter varnat för brister i SS7-protokollet. Svagheterna i systemet gör det möjligt för skurkar att snappa upp sms med engångskoder som egentligen ska skickas till privatpersoners telefoner. Angriparna kan bland annat använda så kallade sms-sniffers, som är program och hårdvara för att avlyssna och analysera trafik i telenäten.

Den här typen av SS7-attacker har fått Google att se över sin teknik för tvåstegsverifiering, kallad 2SV. En uppdatering som precis har börjat skickas ut gör att sms-koderna snart är ett minne blott.

Uppdateringen innebär att en lösning som Google har använt parallellt med sms sedan en tid tillbaka nu blir standard.

När användarna loggar in på sina Googlekonton kommer det istället att dyka upp en slags dialogruta på deras mobiltelefoner där systemet redovisar plats, tidpunkt och typ av enhet för inloggningen. Användaren kan sedan välja att godkänna inloggningen – eller att stoppa den.

Googles nya lösning fungerar än så länge bara automatiskt för de som har Android-telefoner. Ios-användare måste ha Google Sök-appen installerad för att kunna dra nytta av den nya tekniken.