Google sta usando le notifiche push per quel servizio, presumo. In questo modo la sicurezza equivale approssimativamente a un MFA basato su SMS. Come hai sottolineato, entrambi offrono l'opportunità a un utente malintenzionato di intercettare un codice di autenticazione destinato a te o di trovare un modo per convincere Google a inviare il codice direttamente al tuo telefono.
L'analisi della sicurezza di un sistema basato su notifiche push rispetto a un sistema basato su SMS sarà quindi all'altezza delle specifiche del protocollo di trasferimento (ovvero è più facile intercettare il traffico SMS rispetto alle notifiche push o viceversa). Questa è la domanda interessante e quella a cui non so rispondere
Tuttavia, nessuno dei due sarà molto più sicuro dell'altro, dati i limiti intrinseci di un metodo di autenticazione basato sulla rete per "qualcosa che hai". La differenza tra loro e un'app HOTP / TOTP, o un dispositivo MFA hardware, è molto di più, e a sua volta la differenza tra l'utilizzo di uno di questi metodi e l'utilizzo dell'autenticazione del fattore singolo è ancora più grande. Quindi, da una prospettiva pratica, penso che la domanda, anche se interessante, non contenga: qualsiasi forma di MFA è meglio di non averne affatto, e se ti interessa davvero della tua sicurezza, dovresti essere utilizzando un secondo fattore non basato sulla rete.
Direi che la ragione principale per cui Google sta implementando questo servizio non è per una maggiore sicurezza su SMS 2FA, ma per la facilità d'uso (il che significa che è più probabile che le persone lo usino invece di rinunciare completamente a MFA).