Miks ma saan Hangoutsist ja Microsoft Teamsilt FCM-i sõnumite testi märguannet?

Siit saate teada, mis on nende ootamatult ilmunud märguannete taga

Toetume rakenduste märguannetele, et hoida meid toimuvaga kursis. Kujutage ette, kui te ei saanud ühtegi märguannet ja jääksite ilma olulistest uudistest ja asjadest, mille puhul neile usaldate. Salapäraste märguannete saamine võib aga olla sama murettekitav kui mitte saada.

Ja paljud inimesed on saanud "FCM-i sõnumeid. Test Notification” või sarnased märguanded sellistest rakendustest nagu Google Hangout ja Microsoft Teams. Seega on loomulik, et olete selle mõistatuse suhtes mures ja samal ajal uudishimulik. Kui olete mõelnud, mis need on või miks te neid hankite, lugege edasi!

Mis on FCM-i sõnumite testiteade?

Paljud Androidi kasutajad on teatanud, et on saanud FCM-i sõnumite märguandeid, mis näevad välja umbes sellised:

FCM-i sõnumid

Testige märguandeid!!!

S-tähtede arv teatises muutub pidevalt. Nüüd on lisatähed ja hüüumärgid piisavad tõendid selle kohta, et nendes märguannetes on midagi kahtlast. Seejärel lisage tegur, et nende märguannete abil rakenduse avamisel ei juhtu midagi; lihtsalt avaneb rakenduse tavaline liides, nagu poleks te rakendust selle teatise kaudu avanud. Nendest pole jälgegi. Niisiis, mis need täpselt on?

Need märguanded tulenevad Firebase'i pilvsõnumside teenuse (FCM) haavatavusest. Firebase on Google'i platvorm, mida arendajad kasutavad mobiili- ja veebirakenduste loomiseks. Väärib märkimist, et paljud rakendused kasutavad teatiste edastamiseks FCM-i.

Abhishek Dharani ehk "Abss" avastas haavatavuse pärast nende rakenduste APK-failide otsimist. APK-failid paljastasid tundlikud API-võtmed, mille võib igaüks leida, kui faile peene hambakammiga läbi vaadata. Haavatavus võimaldas tal neid teateid saata selliste rakenduste mobiilirakenduste kasutajatele nagu Hangout, Microsoft Teams, Google Play muusika, YouTube jne.

Ja pärast loogiliste tingimuste ja väljendite kallal nokitsemist suutsid nad isegi mitte-abonendikasutajatele nende rakenduste teavitusi saata. On isegi teateid, et need teatised suutsid Microsoft Teamsi vaiksetest tundidest mööda minna, kui rakendus ei peaks tehniliselt teatisi edastama.

Kas on põhjust muretsemiseks?

Kuna need märguanded on praegu kahjutud, pole põhjust liigselt muretseda. Kuid ettevaatlik olemine pole halb, sest keegi võib neid teatisi kasutada ka valeteabe saatmiseks ja massiliste andmepüügirünnakute läbiviimiseks.

Google on haavatavusest juba teadlik ja uurib asja. Microsoft pole selles küsimuses veel ühtegi tunnustust avaldanud.

Väärib märkimist, et kuigi märguanded olid osa Abhisheki ja tema meeskonna POC-ist (kontseptsiooni tõend), võivad kõik pahatahtlikud ründajad seda haavatavust ka tulevikus kuritarvitada, kuni arendajad võtavad kiiresti meetmeid ja teevad midagi avalikustatud API-võtmete osas.

Nüüd, kui teate nende märguannete põhjust, peaks see teie mõtted puhkama. Kuid peaksite olema ka ettevaatlik ja jälgima, kas need märguanded muutuvad mõne ründaja poolt millekski muuks kui kahjutuks.