למד את האמת מאחורי ההתראות האלה שצצו ישר
אנו מסתמכים על הודעות אפליקציה כדי לעדכן אותנו במה שקורה. תאר לעצמך אם לא קיבלת התראות והחמצת את החדשות החשובות ואת הדברים שאתה סומך עליהם עבורם. אבל קבלת התראות מסתוריות יכולה להיות מדאיגה בדיוק כמו אי קבלת התראות.
והרבה אנשים קיבלו "הודעות FCM. Test Notification" או התראות דומות מאפליקציות כמו Google Hangout ו-Microsoft Teams. אז זה טבעי שאתה מודאג ובו בזמן סקרן לגבי החידה הזו. אם חשבתם מה זה, או למה אתם מקבלים אותם, המשך לקרוא!
מהי הודעה על בדיקת FCM Messages
הרבה משתמשי אנדרואיד דיווחו שקיבלו את ההתראות האלה של הודעות FCM שנראות בערך כך:
הודעות FCM
הודעות בדיקה!!!
מספר ה-S בהודעה ממשיך להשתנות. כעת, הסימנים הנוספים וסימני הקריאה הם עדות מספיק לכך שיש משהו דגי בהודעות האלה. לאחר מכן הוסף את הגורם ששום דבר לא קורה כשאתה פותח את האפליקציה באמצעות ההתראות האלה; רק הממשק הרגיל של האפליקציה נפתח כאילו לא פתחת את האפליקציה דרך ההתראה הזו. אין להם זכר. אז מה זה בדיוק?
הודעות אלו הן תוצאה של פגיעות בשירות Firebase Cloud Messaging (FCM). Firebase היא פלטפורמה של גוגל שמפתחים משתמשים בה כדי ליצור אפליקציות לנייד ואינטרנט. ראוי לציין שאפליקציות רבות משתמשות ב-FCM כדי להעביר התראות.
Abhishek Dharani, הידוע גם בשם 'Abss', גילה את הפגיעות לאחר חפירה בקבצי ה-APK עבור אפליקציות אלה. קבצי ה-APK חשפו מפתחות API רגישים שכל אחד יכול למצוא על ידי מעבר על הקבצים עם מסרק עדין. הפגיעות אפשרה לו לשלוח הודעות אלו למשתמשי האפליקציה לנייד של האפליקציות כמו Hangout, Microsoft Teams, Google Play Music, YouTube וכו'.
ואחרי שהתעסקו בתנאים ובביטויים הלוגיים, הם אפילו הצליחו לשלוח הודעות למשתמשים שאינם מנויים להתראות עבור האפליקציות הללו. ישנם אפילו דיווחים שההודעות הללו הצליחו לעקוף את הגדרת 'שעות שקט' ב-Microsoft Teams כאשר ה-pp מבחינה טכנית לא אמורה לספק התראות.
האם יש מה לדאוג?
מכיוון שההודעות הללו אינן מזיקות כרגע, אין צורך לדאוג יותר מדי. אבל אין נזק בלהיות זהיר מכיוון שמישהו יכול גם להשתמש בהודעות האלה כדי לשלוח מידע שקרי ולבצע התקפות דיוג המוניות.
גוגל כבר מודעת לפגיעות וחוקרת את הנושא. עדיין אין מילה של אישור ממיקרוסופט בנושא.
ראוי לציין שלמרות שההודעות היו חלק מ-POC (הוכחת קונספט) של Abhishek והצוות שלו, כל תוקף זדוני יכול גם לנצל את הפגיעות בעתיד עד שהמפתחים ינקטו פעולה מהירה ויעשו משהו בנוגע למפתחות ה-API החשופים.
עכשיו כשאתה יודע את הסיבה מאחורי ההתראות האלה, זה אמור להרגיע את דעתך. אבל אתה צריך גם להישאר זהיר ולהיזהר אם ההודעות האלה יהפכו למשהו אחר שאינו מזיק על ידי תוקף כלשהו.