Uzziniet patiesību aiz šiem paziņojumiem, kas parādījās negaidīti
Mēs paļaujamies uz lietotņu paziņojumiem, lai informētu mūs par notiekošo. Iedomājieties, ja nesaņēmāt nekādus paziņojumus un palaidāt garām svarīgas ziņas un lietas, kurās uz tiem paļaujaties. Taču noslēpumainu paziņojumu saņemšana var būt tikpat satraucoša kā to nesaņemšana.
Un daudzi cilvēki ir saņēmuši “FCM ziņojumus. Test Notification” vai līdzīgus paziņojumus no tādām lietotnēm kā Google Hangout un Microsoft Teams. Tāpēc ir dabiski, ka jūs uztraucaties un tajā pašā laikā jūs interesē šī mīkla. Ja esat domājis, kas tie ir vai kāpēc jūs tos iegūstat, lasiet tālāk!
Kas ir FCM ziņojumu testa paziņojums
Daudzi Android lietotāji ir ziņojuši, ka ir saņēmuši šos FCM ziņojumu paziņojumus, kas izskatās šādi:
FCM ziņojumi
Pārbaudīt paziņojumus!!!
S skaits paziņojumā pastāvīgi mainās. Tagad papildu s un izsaukuma zīmes ir pietiekami pierādījumi, ka šajos paziņojumos ir kaut kas neparasts. Pēc tam pievienojiet faktoru, ka nekas nenotiek, atverot lietotni, izmantojot šos paziņojumus; tiek atvērts tikai parastais lietotnes interfeiss, it kā jūs nebūtu atvēris lietotni, izmantojot šo paziņojumu. No tiem nav nekādu pēdu. Tātad, kas īsti ir šie?
Šos paziņojumus rada Firebase mākoņa ziņojumapmaiņas (FCM) pakalpojuma ievainojamība. Firebase ir Google platforma, ko izstrādātāji izmanto, lai izveidotu mobilās un tīmekļa lietotnes. Ir vērts atzīmēt, ka daudzas lietotnes izmanto FCM, lai sniegtu paziņojumus.
Abhišeks Dharani, pazīstams arī kā “Abss”, atklāja ievainojamību pēc šo lietotņu APK failu izpētes. APK faili atklāja sensitīvas API atslēgas, kuras ikviens varēja atrast, caurskatot failus ar smalku ķemmi. Ievainojamība ļāva viņam nosūtīt šos paziņojumus mobilo lietotņu lietotājiem tādās lietotnēs kā Hangout, Microsoft Teams, Google Play mūzika, YouTube utt.
Un pēc loģisko nosacījumu un izteiksmju izdomāšanas viņi pat varēja nosūtīt paziņojumus lietotājiem, kas nav abonenti, uz šo lietotņu paziņojumiem. Ir pat ziņojumi, ka šie paziņojumi varēja apiet Microsoft Teams iestatījumu “klusās stundas”, kad lietotnei tehniski nevajadzētu sniegt paziņojumus.
Vai ir par ko uztraukties?
Tā kā šie paziņojumi šobrīd ir nekaitīgi, nav jāuztraucas pārāk daudz. Taču būt uzmanīgiem nav par ļaunu, jo kāds var arī izmantot šos paziņojumus, lai nosūtītu nepatiesu informāciju un veiktu masveida pikšķerēšanas uzbrukumus.
Uzņēmums Google jau ir informēts par ievainojamību un izmeklē šo lietu. Pagaidām no Microsoft puses nav neviena atzinības vārda šajā jautājumā.
Ir vērts atzīmēt, ka, lai gan paziņojumi bija daļa no Abhišeka un viņa komandas izstrādātā POC (koncepcijas pierādījuma), ikviens ļaunprātīgs uzbrucējs nākotnē var arī ļaunprātīgi izmantot ievainojamību, līdz izstrādātāji ātri rīkojas un kaut ko darīs ar atklātajām API atslēgām.
Tagad, kad zināt šo paziņojumu iemeslu, jums vajadzētu atpūsties. Taču jums vajadzētu būt arī piesardzīgam un uzmanīties, vai kāds uzbrucējs šos paziņojumus nepārvērš par nekaitīgiem.