Zistite pravdu o týchto upozorneniach, ktoré sa objavili z ničoho nič
Spoliehame sa na upozornenia aplikácií, aby sme mali prehľad o tom, čo sa deje. Predstavte si, že by ste nedostávali žiadne upozornenia a zmeškali by ste dôležité správy a veci, pri ktorých sa na ne spoliehate. Dostávanie záhadných upozornení však môže byť rovnako znepokojujúce ako nedostávať žiadne.
A veľa ľudí dostáva „Správy FCM. Test Notification“ alebo podobné upozornenia z aplikácií ako Google Hangout a Microsoft Teams. Je teda prirodzené, že sa obávate a zároveň ste zvedaví na túto záhadu. Ak ste premýšľali, čo to je alebo prečo ich získavate, čítajte ďalej!
Čo je oznámenie o teste správ FCM
Mnoho používateľov systému Android nahlásilo, že dostávajú tieto upozornenia správ FCM, ktoré vyzerajú asi takto:
Správy FCM
Testovacie notifikácie!!!
Počet písmen S v upozornení sa neustále mení. Teraz sú dodatočné s a výkričníky dostatočným dôkazom toho, že na týchto upozorneniach je niečo podozrivé. Potom pridajte faktor, že pri otvorení aplikácie pomocou týchto upozornení sa nič nestane; otvorí sa iba normálne rozhranie aplikácie, ako keby ste aplikáciu neotvorili prostredníctvom tohto upozornenia. Niet po nich ani stopy. Takže, čo to vlastne je?
Tieto upozornenia sú výsledkom slabého miesta v službe Firebase Cloud Messaging (FCM). Firebase je platforma od spoločnosti Google, ktorú vývojári používajú na vytváranie mobilných a webových aplikácií. Stojí za zmienku, že mnoho aplikácií používa FCM na doručovanie upozornení.
Abhishek Dharani, alias „Abss“, objavil zraniteľnosť po prehrabaní súborov APK pre tieto aplikácie. Súbory APK odhalili citlivé kľúče API, ktoré by ktokoľvek mohol nájsť pri prechádzaní súborov hrebeňom s jemnými zubami. Zraniteľnosť mu umožnila odosielať tieto upozornenia používateľom mobilných aplikácií aplikácií, ako sú Hangout, Microsoft Teams, Hudba Google Play, YouTube atď.
A potom, čo sa pohrali s logickými podmienkami a výrazmi, boli dokonca schopní posielať upozornenia používateľom, ktorí nie sú predplatiteľmi, na upozornenia pre tieto aplikácie. Existujú dokonca správy, že tieto upozornenia dokázali obísť nastavenie „tichých hodín“ v tímoch Microsoft, keď by pp technicky nemal dodávať žiadne upozornenia.
Je sa čoho obávať?
Keďže tieto upozornenia sú momentálne neškodné, nie je potrebné sa príliš obávať. Nie je však na škodu byť opatrný, pretože niekto môže tieto upozornenia použiť aj na odosielanie nepravdivých informácií a na hromadné phishingové útoky.
Google si už túto zraniteľnosť uvedomuje a záležitosť vyšetruje. Od spoločnosti Microsoft zatiaľ v tejto veci nie je žiadne slovo.
Stojí za zmienku, že aj keď boli upozornenia súčasťou POC (proof of concept) od Abhisheka a jeho tímu, každý škodlivý útočník môže túto zraniteľnosť v budúcnosti zneužiť, kým vývojári rýchlo nezasiahnu a neurobia niečo s odhalenými kľúčmi API.
Teraz, keď poznáte dôvod týchto upozornení, mali by ste si oddýchnuť. Mali by ste však zostať opatrní a dávať si pozor, ak sa tieto upozornenia pre nejakého útočníka nezmenia na niečo iné ako neškodné.