我假设谷歌正在为该服务使用推送通知。这使得安全性大致相当于基于 SMS 的 MFA。正如您所指出的，它们都为攻击者提供了拦截发给您的身份验证代码的机会，或者找到某种方法来说服 Google 直接将代码发送给他们而不是您的手机。

基于推送通知的系统与基于 SMS 的系统的安全分析将取决于传输协议的细节（即拦截 SMS 流量是否比推送通知更容易，反之亦然）。这是一个有趣的问题，我不知道答案。

但是，鉴于基于网络的身份验证方法对“您拥有的东西”的固有限制，两者都不会比另一个更安全。它们与 HOTP/TOTP 应用程序或硬件 MFA 设备之间的区别要大得多，而使用这些方法中的任何一种与使用单因素身份验证之间的区别就更大了。所以从实际的角度来看，我认为这个问题虽然很有趣，但并不重要：任何形式的 MFA 都比没有要好，如果你真的关心你的安全性，你应该使用非基于网络的第二个因素。

我猜想 Google 推出此功能的主要原因不是为了提高 SMS 2FA 的安全性，而是为了易于使用（这意味着人们更有可能使用它而不是完全放弃 MFA）。

您提到的两种 2 因素身份验证方法（谷歌的身份验证器应用程序和 SMS）都存在固有风险。确定安全级别不会非黑即白——这取决于您和您的用例更能接受哪些风险。

但是，要具体回答您的问题：“考虑到它意味着传输中的数据，它是否更安全？” - 不，不是。

2FA 的 SMS 方法容易受到所谓的“SIM 交换”攻击。使用网络钓鱼和其他社会工程风格攻击来获取受害者个人信息（包括银行详细信息）（以及从社交媒体中自由提取详细信息）的攻击者说服移动服务提供商停用当前 SIM 并在攻击者中激活其中一个拥有。然后将所有新的 SMS 以纯文本形式发送给攻击者，包括 2FA SMS。

应用程序和 SMS 2FA 仍然有优缺点 -这篇文章很好地总结了它们。

我个人会建议尽可能使用基于应用程序的身份验证，并提高控制该身份验证器的设备的个人安全性。