Zjistěte pravdu za těmito oznámeními, která se objevila z čistého nebe
Spoléháme na oznámení aplikací, abychom měli přehled o tom, co se děje. Představte si, že byste neobdrželi žádná upozornění a unikli vám důležité zprávy a věci, u kterých se na ně spoléháte. Ale dostávat záhadná oznámení může být stejně znepokojivé jako nedostávat žádná.
A mnoho lidí dostává „Zprávy FCM. Test Notification“ nebo podobná oznámení z aplikací jako Google Hangout a Microsoft Teams. Je tedy přirozené, že se obáváte a zároveň jste zvědaví na tuto záhadu. Pokud jste přemýšleli, co to je nebo proč je získáváte, čtěte dál!
Co je oznámení o testu zpráv FCM
Mnoho uživatelů Androidu hlásilo, že dostává tato oznámení FCM Messages, která vypadají nějak takto:
Zprávy FCM
Testovací oznámeníss!!!
Počet písmen S v oznámení se neustále mění. Nyní jsou dodatečná s a vykřičníky dostatečným důkazem toho, že na těchto oznámeních je něco podivného. Poté přidejte faktor, že se při otevření aplikace pomocí těchto upozornění nic nestane; otevře se pouze normální rozhraní aplikace, jako byste aplikaci prostřednictvím tohoto upozornění neotevřeli. Není po nich ani stopy. Takže, co to přesně je?
Tato oznámení jsou výsledkem chyby zabezpečení ve službě Firebase Cloud Messaging (FCM). Firebase je platforma od společnosti Google, kterou vývojáři používají k vytváření mobilních a webových aplikací. Stojí za zmínku, že mnoho aplikací používá FCM k doručování oznámení.
Abhishek Dharani, aka „Abss“, objevil zranitelnost poté, co prohledal soubory APK pro tyto aplikace. Soubory APK odhalily citlivé klíče API, které by kdokoli mohl najít procházením souborů hřebenem s jemnými zuby. Tato zranitelnost mu umožnila posílat tato upozornění uživatelům mobilních aplikací aplikací, jako je Hangout, Microsoft Teams, Hudba Google Play, YouTube atd.
A poté, co si pohráli s logickými podmínkami a výrazy, byli dokonce schopni posílat upozornění na upozornění pro tyto aplikace uživatelům, kteří nejsou předplatiteli. Existují dokonce zprávy, že tato oznámení dokázala obejít nastavení „tichých hodin“ v Microsoft Teams, kdy by pp technicky neměl doručovat žádná oznámení.
Je se čeho obávat?
Vzhledem k tomu, že tato oznámení jsou v tuto chvíli neškodná, není třeba se příliš znepokojovat. Ale není na škodu být opatrný, protože někdo může tato oznámení použít také k zasílání nepravdivých informací a provádění hromadných phishingových útoků.
Google si je již zranitelnosti vědom a záležitost vyšetřuje. Společnost Microsoft tuto záležitost zatím nepotvrdila.
Stojí za zmínku, že i když byla oznámení součástí POC (proof of concept) od Abhisheka a jeho týmu, každý zákeřný útočník může zranitelnost v budoucnu zneužít, dokud vývojáři rychle nezakročí a neudělají něco s odhalenými klíči API.
Nyní, když znáte důvod těchto oznámení, měli byste si odpočinout. Měli byste ale také zůstat obezřetní a dávat si pozor na to, jestli se tato oznámení pro nějakého útočníka nezmění v něco jiného než neškodného.