Az SMS SIM kartya masolassal elteritheto en ugy tudom, es ez adja a sebezhetoseget. Ha ket ugyanolyan ID-ju SIM jon fel a halozatra, kockan fordul ki, hogy melyikre jon meg az SMS. Ha eleg sokszor probalkozik a rabolo, akkor meg tudja kapni az SMS ketfaktort relative keves ido alatt. Ha az elso faktor valahonnan megvan neki (akar feltorte, akar social engineering, akar barmi) akkor a 2 faktor megszerzese mar szignifikansan kisebb feladat.
Ugyanakkor ertem a telefonhoz kotodo concerneket. Sajnos az a baj, hogy ez az egesz jelszo-2FA PIN kod jellegu megoldas takolas amiatt, mert a HTTP lett az internet alapertelmezett protokollja, es nem valami stateful dolog. Csak ezt lenyegesen nehezebb megvaltoztatni, mint tovabb taknyolni. Ezt a protokollt eredetileg arra talaltak ki, hogy piros hatteren kiskutyas GIF-eket nezzenek az emberek.