Descobriu la veritat darrere d'aquestes notificacions que van sorgir de sobte
Confiem en les notificacions de les aplicacions per mantenir-nos informats del que està passant. Imagineu-vos si no rebeu cap notificació i us perdeu les notícies importants i les coses per les quals confieu. Però rebre notificacions misterioses pot ser tan preocupant com no rebre-ne cap.
I molta gent ha rebut "Missatges FCM. Notificació de prova” o notificacions similars d'aplicacions com Google Hangout i Microsoft Teams. Per tant, és natural que estiguis preocupat i, alhora, curiós per aquest enigma. Si heu estat pensant què són o per què els teniu, continua llegint!
Què és la notificació de prova de missatges de FCM
Molts usuaris d'Android han informat que han rebut aquestes notificacions de missatges FCM que semblen una cosa així:
Missatges FCM
Notificacions de prova!!!
El nombre de S a la notificació continua variant. Ara, les s addicionals i els signes d'exclamació són una prova suficient que hi ha alguna cosa sospitosa en aquestes notificacions. A continuació, afegiu el factor que no passa res quan obriu l'aplicació mitjançant aquestes notificacions; només s'obre la interfície normal de l'aplicació com si no haguéssiu obert l'aplicació mitjançant aquesta notificació. No n'hi ha cap rastre. Aleshores, què són exactament aquests?
Aquestes notificacions són el resultat d'una vulnerabilitat del servei Firebase Cloud Messaging (FCM). Firebase és una plataforma de Google que els desenvolupadors utilitzen per crear aplicacions mòbils i web. Val la pena assenyalar que moltes aplicacions utilitzen FCM per enviar notificacions.
Abhishek Dharani, també conegut com "Abss", va descobrir la vulnerabilitat després d'explorar els fitxers APK d'aquestes aplicacions. Els fitxers APK van exposar claus de l'API sensibles que qualsevol podria trobar recorrent els fitxers amb una pinta de dents fines. La vulnerabilitat li va permetre enviar aquestes notificacions als usuaris d'aplicacions mòbils d'aplicacions com Hangout, Microsoft Teams, Google Play Music, YouTube, etc.
I després de retocar les condicions i expressions lògiques, fins i tot van poder enviar notificacions als usuaris no subscriptors a les notificacions d'aquestes aplicacions. Fins i tot hi ha informes que aquestes notificacions van poder evitar la configuració d'"hores tranquil·les" a Microsoft Teams quan tècnicament el PP no hauria de lliurar cap notificació.
Hi ha alguna cosa de què preocupar-se?
Com que aquestes notificacions són inofensives ara mateix, no cal que us preocupeu massa. Però no hi ha cap mal tenir cura, ja que algú també pot utilitzar aquestes notificacions per enviar informació falsa i dur a terme atacs de pesca massiu.
Google ja és conscient de la vulnerabilitat i està investigant l'assumpte. Encara no hi ha cap paraula de reconeixement de Microsoft al respecte.
Val la pena assenyalar que, tot i que les notificacions formaven part d'un POC (prova de concepte) d'Abhishek i el seu equip, qualsevol atacant maliciós també pot abusar de la vulnerabilitat en el futur fins que els desenvolupadors prenguin mesures ràpides i facin alguna cosa sobre les claus API exposades.
Ara que coneixeu el motiu d'aquestes notificacions, hauríeu de descansar la vostra ment. Però també hauríeu de ser prudent i estar pendent de si aquestes notificacions es converteixen en alguna cosa que no sigui inofensiva per algun atacant.