Μάθετε την αλήθεια πίσω από αυτές τις ειδοποιήσεις που ξεπρόβαλαν
Βασιζόμαστε στις ειδοποιήσεις εφαρμογών για να μας κρατούν ενήμερους για το τι συμβαίνει. Φανταστείτε να μην λαμβάνετε ειδοποιήσεις και να χάσετε τα σημαντικά νέα και τα πράγματα για τα οποία βασίζεστε σε αυτές. Αλλά η λήψη μυστηριωδών ειδοποιήσεων μπορεί να είναι εξίσου ανησυχητική με τη μη λήψη ειδοποιήσεων.
Και πολλοί άνθρωποι έχουν λάβει «Μηνύματα FCM. Test Notification» ή παρόμοιες ειδοποιήσεις από εφαρμογές όπως το Google Hangout και το Microsoft Teams. Επομένως, είναι φυσικό να ανησυχείτε και, ταυτόχρονα, να είστε περίεργοι για αυτό το αίνιγμα. Αν έχετε σκεφτεί τι είναι αυτά ή γιατί τα παίρνετε, διαβάστε!
Τι είναι η ειδοποίηση δοκιμής μηνυμάτων FCM
Πολλοί χρήστες Android έχουν αναφέρει ότι λαμβάνουν αυτές τις ειδοποιήσεις FCM Messages που μοιάζουν κάπως έτσι:
Μηνύματα FCM
Ειδοποιήσεις δοκιμής!!!
Ο αριθμός των S στην ειδοποίηση διαφέρει. Τώρα, τα επιπλέον s και τα θαυμαστικά είναι αρκετά στοιχεία που αποδεικνύουν ότι υπάρχει κάτι τρομακτικό σε αυτές τις ειδοποιήσεις. Στη συνέχεια, προσθέστε τον παράγοντα ότι δεν συμβαίνει τίποτα όταν ανοίγετε την εφαρμογή χρησιμοποιώντας αυτές τις ειδοποιήσεις. απλώς η κανονική διεπαφή της εφαρμογής ανοίγει σαν να μην είχατε ανοίξει την εφαρμογή μέσω αυτής της ειδοποίησης. Δεν υπάρχει κανένα ίχνος τους. Λοιπόν, τι ακριβώς είναι αυτά;
Αυτές οι ειδοποιήσεις είναι αποτέλεσμα μιας ευπάθειας στην υπηρεσία Firebase Cloud Messaging (FCM). Το Firebase είναι μια πλατφόρμα της Google που χρησιμοποιούν οι προγραμματιστές για τη δημιουργία εφαρμογών για κινητά και web. Αξίζει να σημειωθεί ότι πολλές εφαρμογές χρησιμοποιούν FCM για την παράδοση ειδοποιήσεων.
Ο Abhishek Dharani, γνωστός και ως «Abss», ανακάλυψε την ευπάθεια αφού έψαξε τα αρχεία APK για αυτές τις εφαρμογές. Τα αρχεία APK εξέθεσαν ευαίσθητα κλειδιά API που μπορούσε να βρει ο καθένας περνώντας τα αρχεία με μια χτένα με λεπτά δόντια. Η ευπάθεια του επέτρεψε να στέλνει αυτές τις ειδοποιήσεις στους χρήστες εφαρμογών για κινητά των εφαρμογών όπως το Hangout, το Microsoft Teams, τη Μουσική Google Play, το YouTube κ.λπ.
Και αφού ασχολήθηκαν με τις λογικές συνθήκες και τις εκφράσεις, μπόρεσαν ακόμη και να στείλουν ειδοποιήσεις σε μη συνδρομητές χρήστες για ειδοποιήσεις για αυτές τις εφαρμογές. Υπάρχουν μάλιστα αναφορές ότι αυτές οι ειδοποιήσεις μπόρεσαν να παρακάμψουν τη ρύθμιση «ωρών ησυχίας» στο Microsoft Teams, όταν η pp τεχνικά δεν θα έπρεπε να παρέχει ειδοποιήσεις.
Υπάρχει κάτι να ανησυχείτε;
Καθώς αυτές οι ειδοποιήσεις είναι αβλαβείς αυτήν τη στιγμή, δεν χρειάζεται να ανησυχείτε πάρα πολύ. Αλλά δεν είναι κακό να είστε προσεκτικοί, καθώς κάποιος μπορεί επίσης να χρησιμοποιήσει αυτές τις ειδοποιήσεις για να στείλει ψευδείς πληροφορίες και να πραγματοποιήσει μαζικές επιθέσεις phishing.
Η Google γνωρίζει ήδη την ευπάθεια και διερευνά το θέμα. Δεν υπάρχει ακόμη καμία αναγνώριση από τη Microsoft για το θέμα.
Αξίζει να σημειωθεί ότι παρόλο που οι ειδοποιήσεις ήταν μέρος ενός POC (proof of concept) από τον Abhishek και την ομάδα του, οποιοσδήποτε κακόβουλος εισβολέας μπορεί επίσης να κάνει κατάχρηση της ευπάθειας στο μέλλον έως ότου οι προγραμματιστές λάβουν γρήγορα μέτρα και κάνουν κάτι για τα εκτεθειμένα κλειδιά API.
Τώρα που γνωρίζετε τον λόγο πίσω από αυτές τις ειδοποιήσεις, θα πρέπει να ηρεμήσετε. Αλλά θα πρέπει επίσης να είστε προσεκτικοί και να είστε σε επιφυλακή εάν αυτές οι ειδοποιήσεις μετατραπούν σε κάτι διαφορετικό από ακίνδυνο από κάποιον εισβολέα.