Spoznajte resnico za temi obvestili, ki so se pojavila iz jasnega
Zanašamo se na obvestila aplikacij, da nas obveščajo o tem, kaj se dogaja. Predstavljajte si, če niste prejeli nobenih obvestil in ste zamudili pomembne novice in stvari, za katere se zanašate nanje. Toda prejemanje skrivnostnih obvestil je lahko prav tako zaskrbljujoče kot ne prejemanje.
In veliko ljudi je prejemalo »FCM sporočila. Testno obvestilo« ali podobna obvestila iz aplikacij, kot sta Google Hangout in Microsoft Teams. Zato je naravno, da ste zaskrbljeni in hkrati radovedni glede te enigme. Če ste razmišljali, kaj so to ali zakaj jih dobivate, berite naprej!
Kaj je obvestilo o preizkusu sporočil FCM
Veliko uporabnikov Androida je poročalo o prejemanju teh obvestil FCM Messages, ki izgledajo nekako takole:
Sporočila FCM
Preizkusna obvestila!!!
Število S v obvestilu se še naprej spreminja. Sedaj so dodatni s-ji in klicaj dovolj dokaz, da je v teh obvestilih nekaj spornega. Nato dodajte faktor, da se nič ne zgodi, ko odprete aplikacijo s temi obvestili; samo običajni vmesnik aplikacije se odpre, kot da aplikacije ne bi odprli prek tega obvestila. O njih ni sledu. Torej, kaj točno so to?
Ta obvestila so posledica ranljivosti storitve Firebase Cloud Messaging (FCM). Firebase je Googlova platforma, ki jo razvijalci uporabljajo za ustvarjanje mobilnih in spletnih aplikacij. Omeniti velja, da številne aplikacije uporabljajo FCM za dostavo obvestil.
Abhishek Dharani, alias 'Abss', je odkril ranljivost po kopanju po datotekah APK za te aplikacije. Datoteke APK so razkrile občutljive ključe API, ki bi jih lahko vsak našel, če bi pregledal datoteke z glavnikom z drobnimi zobmi. Ranljivost mu je omogočila pošiljanje teh obvestil uporabnikom mobilnih aplikacij aplikacij, kot so Hangout, Microsoft Teams, Google Play Music, YouTube itd.
In potem, ko so se poigravali z logičnimi pogoji in izrazi, so lahko celo pošiljali obvestila nenaročnikom na obvestila za te aplikacije. Obstajajo celo poročila, da so ta obvestila lahko zaobšla nastavitev »tihe ure« v Microsoft Teams, ko pp tehnično ne bi smel pošiljati nobenih obvestil.
Je kaj skrbeti?
Ker so ta obvestila trenutno neškodljiva, vam ni treba skrbeti preveč. Vendar pa ni škode, če ste previdni, saj lahko nekdo uporabi ta obvestila tudi za pošiljanje napačnih informacij in izvajanje množičnih napadov z lažnim predstavljanjem.
Google se že zaveda ranljivosti in zadevo preiskuje. Microsoft še ni potrdil o tej zadevi.
Omeniti velja, da čeprav so bila obvestila del POC (dokaz koncepta) Abhisheka in njegove ekipe, lahko vsak zlonamerni napadalec v prihodnosti zlorabi ranljivost, dokler razvijalci ne ukrepajo hitro in storijo nekaj glede izpostavljenih ključev API.
Zdaj, ko poznate razloge za ta obvestila, bi se morali spočiti. Vendar pa morate biti tudi previdni in paziti, če se ta obvestila spremenijo v nekaj drugega kot nenevarna s strani napadalca.