Affidarsi al cellulare come secondo fattore è in qualche modo casuale - ci sono sempre più persone che si affidano ai cellulari come dispositivi di accesso a Internet primari (specialmente in paesi con un'infrastruttura cablata limitata), quindi un'app su un telefono, un SMS o un'e-mail può finire sullo stesso dispositivo che l'utente malintenzionato sta usando. Ciò causa già problemi: prova a effettuare un pagamento con l'app mobile di Paypal se hai attivato 2FA e non ti lascerà, poiché tenta di proteggersi da questo tipo di attacco. Però non sembrano avere una buona soluzione.
Ci sono ovvie strategie di mitigazione dell'attacco nel documento di riferimento: i telefoni potrebbero limitare l'installazione dai browser (ad esempio richiedere un codice visualizzato sul browser per essere immesso sul telefono a mano, o disabilitare la funzione di default, in un simile per i metodi di abbinamento Bluetooth, quindi l'utente del telefono deve essere attivamente alla ricerca di tentativi di installazione per farli funzionare), gli app store potrebbero essere più proattivi nel rilevare le funzioni di lettura SMS, oppure le pagine di ricezione 2FA potrebbero richiedere ulteriori dettagli di verifica (ad es. richiede l'inserimento della password del sito, che aggiungerebbe ostacoli agli attacchi di furto di sessione, o richiederebbe caratteri specifici del codice inviato, rendendo l'interazione umana più facile della voce automatizzata).
Per la maggior parte degli account, tuttavia, è probabilmente a basso rischio. Se si utilizza una password complessa per l'account dell'app store, è necessario che un utente malintenzionato rilevi tale caricamento in background e si dovrebbe sempre prestare attenzione alle nuove applicazioni installate sul dispositivo. Esistono sempre applicazioni che passano attraverso qualsiasi sistema di monitoraggio, quindi il problema sembrerebbe essere la fiducia cieca posta dal telefono nel processo di installazione automatizzata dell'app store, un caso di usabilità con un lato negativo della sicurezza.