Saznajte istinu iza ovih obavijesti koje su iskočile iz vedra neba
Oslanjamo se na obavijesti aplikacija kako bismo bili u toku o tome što se događa. Zamislite da niste primili nijednu obavijest i propustili važne vijesti i stvari za koje se oslanjate na njih. No primanje tajanstvenih obavijesti može biti jednako zabrinjavajuće kao i ne dobivanje.
I puno ljudi dobiva "FCM poruke. Test Notification” ili slične obavijesti iz aplikacija kao što su Google Hangout i Microsoft Teams. Stoga je prirodno da ste zabrinuti i, u isto vrijeme, znatiželjni zbog ove enigme. Ako ste razmišljali što su to ili zašto ih dobivate, čitajte dalje!
Što je obavijest o testiranju FCM poruka
Mnogi korisnici Androida izvijestili su da dobivaju ove obavijesti o FCM porukama koje izgledaju otprilike ovako:
FCM poruke
Obavijesti o testiranju!!!
Broj S u obavijesti stalno se mijenja. Dodatni s i uskličnici su dovoljan dokaz da ima nečeg sumnjivog u tim obavijestima. Zatim dodajte faktor da se ništa ne događa kada otvorite aplikaciju pomoću ovih obavijesti; samo se normalno sučelje aplikacije otvara kao da niste otvorili aplikaciju putem ove obavijesti. Nema im ni traga. Dakle, što je to točno?
Ove su obavijesti rezultat ranjivosti usluge Firebase Cloud Messaging (FCM). Firebase je Googleova platforma koju programeri koriste za izradu mobilnih i web aplikacija. Važno je napomenuti da mnoge aplikacije koriste FCM za isporuku obavijesti.
Abhishek Dharani, zvani "Abss", otkrio je ranjivost nakon što je kopao po APK datotekama za ove aplikacije. APK datoteke otkrivale su osjetljive API ključeve koje je svatko mogao pronaći prolaskom kroz datoteke češljem s finim zubima. Ranjivost mu je omogućila da pošalje te obavijesti korisnicima mobilnih aplikacija aplikacija kao što su Hangout, Microsoft Teams, Google Play Music, YouTube itd.
I nakon što su se petljali s logičkim uvjetima i izrazima, čak su mogli slati obavijesti korisnicima koji nisu pretplatnici na obavijesti za ove aplikacije. Postoje čak i izvješća da su te obavijesti uspjele zaobići postavku 'mirnih sati' u Microsoftovim timovima kada pp tehnički ne bi trebao isporučiti nikakve obavijesti.
Ima li razloga za brigu?
Kako su ove obavijesti trenutno bezopasne, nema potrebe za pretjeranom brigom. Ali nema štete u tome da budete oprezni jer netko također može koristiti te obavijesti za slanje lažnih informacija i izvođenje masovnih phishing napada.
Google je već svjestan ranjivosti i istražuje stvar. Još nema riječi priznanja od Microsofta po tom pitanju.
Vrijedi napomenuti da iako su obavijesti bile dio POC-a (dokaz koncepta) od strane Abhisheka i njegovog tima, svaki zlonamjerni napadač također može zloupotrijebiti ranjivost u budućnosti dok programeri ne poduzmu brzu akciju i poduzmu nešto u vezi s izloženim API ključevima.
Sada kada znate razlog za ove obavijesti, trebalo bi vas odmoriti. Ali također biste trebali ostati oprezni i paziti da se te obavijesti od nekog napadača pretvore u nešto drugo, a ne bezopasno.