Opi totuus näiden tyhjästä ilmestyneiden ilmoitusten takana
Luotamme sovellusten ilmoituksiin, jotta voimme pitää meidät ajan tasalla siitä, mitä tapahtuu. Kuvittele, jos et saanut ilmoituksia ja jäänyt paitsi tärkeistä uutisista ja asioista, joissa luotat niihin. Mutta salaperäisten ilmoitusten saaminen voi olla yhtä huolestuttavaa kuin niiden saamatta jättäminen.
Ja monet ihmiset ovat saaneet "FCM-viestejä. Test Notification" tai vastaavat ilmoitukset sovelluksista, kuten Google Hangout ja Microsoft Teams. Joten on luonnollista, että olet huolissasi ja samalla utelias tästä arvoituksesta. Jos olet miettinyt, mitä nämä ovat tai miksi hankit niitä, lue eteenpäin!
Mikä on FCM-viestien testiilmoitus
Monet Android-käyttäjät ovat ilmoittaneet saaneensa nämä FCM-viestit -ilmoitukset, jotka näyttävät suunnilleen tältä:
FCM-viestit
Testaa ilmoitukset!!!
Ilmoituksen S-kirjainten määrä vaihtelee. Nyt ylimääräiset s-kirjaimet ja huutomerkit ovat tarpeeksi todisteita siitä, että näissä ilmoituksissa on jotain hämärää. Lisää sitten se tekijä, että mitään ei tapahdu, kun avaat sovelluksen näiden ilmoitusten avulla. vain sovelluksen normaali käyttöliittymä avautuu ikään kuin et olisi avannut sovellusta tämän ilmoituksen kautta. Niistä ei ole jälkeäkään. Eli mitä nämä oikein ovat?
Nämä ilmoitukset ovat seurausta Firebase Cloud Messaging (FCM) -palvelun haavoittuvuudesta. Firebase on Googlen alusta, jota kehittäjät käyttävät mobiili- ja verkkosovellusten luomiseen. On syytä huomata, että monet sovellukset käyttävät FCM:ää ilmoitusten toimittamiseen.
Abhishek Dharani, alias "Abss", havaitsi haavoittuvuuden tutkittuaan näiden sovellusten APK-tiedostoja. APK-tiedostot paljastivat arkaluontoisia API-avaimia, jotka kuka tahansa saattoi löytää käymällä tiedostot läpi hienohampaisella kammalla. Haavoittuvuuden ansiosta hän saattoi lähettää näitä ilmoituksia sovellusten, kuten Hangoutin, Microsoft Teamsin, Google Play Musiikin, YouTuben jne., mobiilisovellusten käyttäjille.
Ja loogisten ehtojen ja lausekkeiden parissa työskentelyn jälkeen he pystyivät jopa lähettämään ilmoituksia muille kuin tilaajille näiden sovellusten ilmoituksiin. On jopa raportoitu, että nämä ilmoitukset pystyivät ohittamaan Microsoft Teamsin hiljaiset tunnit, kun pp:n ei teknisesti pitäisi toimittaa ilmoituksia.
Onko syytä huoleen?
Koska nämä ilmoitukset ovat tällä hetkellä vaarattomia, ei ole syytä huolehtia liikaa. Mutta varovaisuudesta ei ole haittaa, sillä joku voi myös käyttää näitä ilmoituksia väärän tiedon lähettämiseen ja massatietojen kalasteluhyökkäyksiin.
Google on jo tietoinen haavoittuvuudesta ja tutkii asiaa. Microsoft ei ole vielä saanut asiasta tunnustusta.
On syytä huomata, että vaikka ilmoitukset olivat osa Abhishekin ja hänen tiiminsä POC:ta (proof of concept), mikä tahansa ilkeä hyökkääjä voi myös tulevaisuudessa käyttää haavoittuvuutta väärin, kunnes kehittäjät ryhtyvät nopeasti toimiin ja tekevät jotain paljastetuille API-avaimille.
Nyt kun tiedät syyn näiden ilmoitusten takana, sinun pitäisi levätä mielesi. Mutta sinun tulee myös olla varovainen ja tarkkailla, jos nämä ilmoitukset muuttuvat joksikin muuksi kuin vaarattomaksi hyökkääjän toimesta.