Miért kapok „FCM-üzenetek tesztértesítését” a Hangoutstól és a Microsoft Teamstől?

Ismerje meg az igazságot ezek az értesítések mögött, amelyek hirtelen jöttek

Az alkalmazások értesítéseire hagyatkozunk, hogy folyamatosan tájékozódjunk arról, hogy mi történik. Képzeld el, ha nem kaptál értesítést, és lemaradsz a fontos hírekről és dolgokról, amelyekben számíthatsz rájuk. De a titokzatos értesítések fogadása ugyanolyan aggasztó lehet, mint az, ha nem kap értesítést.

És sokan kaptak „FCM-üzeneteket. Tesztértesítés” vagy hasonló értesítések olyan alkalmazásoktól, mint a Google Hangout és a Microsoft Teams. Tehát természetes, hogy aggódik, és egyben kíváncsi is erre a rejtélyre. Ha azon gondolkodtál, hogy mik ezek, vagy miért kapod őket, olvass tovább!

Mi az az FCM-üzenetek tesztértesítése?

Sok Android-felhasználó arról számolt be, hogy ilyen FCM-üzeneteket kaptak, amelyek valahogy így néznek ki:

FCM-üzenetek

Teszt értesítések!!!

Az értesítésben szereplő S betűk száma folyamatosan változik. Nos, az extra s-ek és felkiáltójelek elég bizonyíték arra, hogy van valami rossz ezekben az értesítésekben. Ezután adja hozzá azt a tényezőt, hogy semmi sem történik, amikor megnyitja az alkalmazást ezekkel az értesítésekkel; csak az alkalmazás normál felülete nyílik meg, mintha nem ezen az értesítésen keresztül nyitotta volna meg az alkalmazást. nyomuk sincs. Szóval mik ezek pontosan?

Ezek az értesítések a Firebase Cloud Messaging (FCM) szolgáltatás biztonsági résének következményei. A Firebase a Google platformja, amelyet a fejlesztők mobil- és webalkalmazások létrehozására használnak. Érdemes megjegyezni, hogy sok alkalmazás FCM-et használ az értesítések küldésére.

Abhishek Dharani, más néven „Abss”, fedezte fel a sebezhetőséget, miután átkutatta az alkalmazások APK-fájljait. Az APK-fájlok érzékeny API-kulcsokat tártak fel, amelyeket bárki megtalálhatott, ha finom fogú fésűvel végignézi a fájlokat. A biztonsági rés lehetővé tette számára, hogy ezeket az értesítéseket küldje el az olyan alkalmazások mobilalkalmazás-felhasználóinak, mint a Hangout, a Microsoft Teams, a Google Play Zene, a YouTube stb.

A logikai feltételek és kifejezések trükközése után pedig még a nem előfizető felhasználóknak is tudtak értesítést küldeni ezen alkalmazások értesítéseihez. Még arról is szólnak jelentések, hogy ezek az értesítések képesek voltak megkerülni a Microsoft Teams „csendes órák” beállítását, amikor a pp-nek technikailag nem kellene értesítést küldenie.

Van miért aggódni?

Mivel ezek az értesítések jelenleg ártalmatlanok, nem kell túlságosan aggódni. De nem árt óvatosnak lenni, hiszen valaki ezeket az értesítéseket hamis információk küldésére és tömeges adathalász támadásokra is felhasználhatja.

A Google már tisztában van a sérülékenységgel, és vizsgálja az ügyet. A Microsoft részéről még nem érkezett elismerő szó az ügyben.

Érdemes megjegyezni, hogy bár az értesítések az Abhishek és csapata POC (proof of concept) részét képezték, a jövőben bármely rosszindulatú támadó visszaélhet a sérülékenységgel mindaddig, amíg a fejlesztők nem tesznek gyors lépéseket és nem tesznek valamit a nyilvánosságra hozott API-kulcsok ellen.

Most, hogy ismeri az értesítések mögött meghúzódó okot, meg kell nyugodnia. De óvatosnak kell maradnia, és figyelnie kell arra, hogy ezek az értesítések a támadók által nem ártalmatlanná válnak-e.