Poznaj prawdę o tych powiadomieniach, które pojawiły się znikąd
Polegamy na powiadomieniach aplikacji, aby na bieżąco informować nas o tym, co się dzieje. Wyobraź sobie, że nie otrzymałeś żadnych powiadomień i przegapiłeś ważne wiadomości i rzeczy, na których polegasz. Ale otrzymywanie tajemniczych powiadomień może być równie niepokojące, jak ich brak.
I wiele osób otrzymuje „Wiadomości FCM. Powiadomienie testowe” lub podobne powiadomienia z aplikacji takich jak Google Hangout i Microsoft Teams. Więc to naturalne, że martwisz się, a jednocześnie ciekawi cię ta zagadka. Jeśli zastanawiałeś się, co to jest lub dlaczego je otrzymujesz, czytaj dalej!
Co to jest powiadomienie testowe wiadomości FCM
Wielu użytkowników Androida zgłosiło otrzymywanie powiadomień FCM Messages, które wyglądają mniej więcej tak:
Wiadomości FCM
Powiadomienia testowe!!!
Liczba S w powiadomieniu ciągle się zmienia. Teraz dodatkowe litery „s” i wykrzykniki są wystarczającym dowodem, że w tych powiadomieniach jest coś podejrzanego. Następnie dodaj fakt, że nic się nie dzieje po otwarciu aplikacji za pomocą tych powiadomień; otwiera się tylko normalny interfejs aplikacji, tak jakbyś nie otwierał aplikacji za pomocą tego powiadomienia. Nie ma po nich śladu. Więc co to właściwie jest?
Te powiadomienia są wynikiem luki w usłudze Firebase Cloud Messaging (FCM). Firebase to platforma Google, której programiści używają do tworzenia aplikacji mobilnych i internetowych. Warto zauważyć, że wiele aplikacji używa FCM do dostarczania powiadomień.
Abhishek Dharani, znany również jako „Abss”, odkrył lukę w zabezpieczeniach po przekopaniu się przez pliki APK dla tych aplikacji. Pliki APK ujawniały wrażliwe klucze API, które każdy mógł znaleźć, przeglądając pliki drobnym grzebieniem. Luka umożliwiła mu wysyłanie tych powiadomień do użytkowników aplikacji mobilnych takich jak Hangout, Microsoft Teams, Muzyka Google Play, YouTube itp.
Po majstrowaniu przy warunkach logicznych i wyrażeniach byli nawet w stanie wysyłać powiadomienia do użytkowników, którzy nie są subskrybentami, do powiadomień dla tych aplikacji. Istnieją nawet doniesienia, że te powiadomienia były w stanie ominąć ustawienie „cichych godzin” w Microsoft Teams, gdy pp technicznie nie powinno dostarczać żadnych powiadomień.
Czy jest się czym martwić?
Ponieważ te powiadomienia są teraz nieszkodliwe, nie musisz się zbytnio martwić. Ale nie ma nic złego w zachowaniu ostrożności, ponieważ ktoś może również używać tych powiadomień do wysyłania fałszywych informacji i przeprowadzania masowych ataków phishingowych.
Google jest już świadomy luki w zabezpieczeniach i bada sprawę. W tej sprawie nie ma jeszcze słowa uznania od Microsoft.
Warto zauważyć, że chociaż powiadomienia były częścią POC (weryfikacji koncepcji) Abhisheka i jego zespołu, każdy złośliwy atakujący może również wykorzystać tę lukę w przyszłości, dopóki programiści nie podejmą szybkich działań i nie zrobią czegoś z ujawnionymi kluczami API.
Teraz, gdy znasz przyczynę tych powiadomień, powinieneś odpocząć. Ale powinieneś też zachować ostrożność i uważać, czy te powiadomienia nie zmienią się w coś innego niż nieszkodliwe przez jakiegoś atakującego.