Узнайте правду об этих уведомлениях, которые появляются неожиданно
Мы полагаемся на уведомления приложений, чтобы держать нас в курсе того, что происходит. Представьте, что вы не получали никаких уведомлений и пропустили важные новости и вещи, в которых вы полагаетесь на них. Но получение загадочных уведомлений может быть столь же тревожным, как и отсутствие их.
И многие люди получали «Сообщения FCM. Тестовое уведомление »или аналогичные уведомления из таких приложений, как Google Hangout и Microsoft Teams. Поэтому естественно, что вы беспокоитесь и в то же время любопытствуете об этой загадке. Если вы задумывались, что это такое или почему вы их получаете, читайте дальше!
Что такое уведомление о тестировании сообщений FCM
Многие пользователи Android сообщают о получении этих уведомлений о сообщениях FCM, которые выглядят примерно так:
Сообщения FCM
Уведомления о тестировании !!!
Количество S в уведомлении постоянно меняется. Теперь лишние символы s и восклицательные знаки являются достаточным доказательством того, что в этих уведомлениях есть что-то подозрительное. Затем добавьте фактор, что при открытии приложения с помощью этих уведомлений ничего не происходит; просто открывается обычный интерфейс приложения, как если бы вы не открывали приложение через это уведомление. Их нет и в помине. Итак, что это такое?
Эти уведомления являются результатом уязвимости в службе обмена сообщениями Firebase Cloud Messaging (FCM). Firebase - это платформа от Google, которую разработчики используют для создания мобильных и веб-приложений. Стоит отметить, что многие приложения используют FCM для доставки уведомлений.
Абхишек Дхарани, также известный как Abss, обнаружил уязвимость, покопавшись в APK-файлах этих приложений. Файлы APK содержали уязвимые ключи API, которые любой мог найти, просматривая файлы с помощью тонкой гребешки. Уязвимость позволила ему рассылать эти уведомления пользователям мобильных приложений таких приложений, как Hangout, Microsoft Teams, Google Play Music, YouTube и т. Д.
А после работы с логическими условиями и выражениями они даже смогли отправлять уведомления пользователям, не имеющим подписки, на уведомления для этих приложений. Есть даже сообщения о том, что эти уведомления смогли обойти настройку «тихих часов» в Microsoft Teams, когда pp технически не должен доставлять никаких уведомлений.
Есть ли повод для беспокойства?
Поскольку в данный момент эти уведомления безвредны, не стоит сильно беспокоиться. Но нет ничего плохого в том, чтобы быть осторожным, поскольку кто-то может также использовать эти уведомления для отправки ложной информации и проведения массовых фишинговых атак.
Google уже знает об уязвимости и расследует этот вопрос. Подтверждения от Microsoft пока нет.
Стоит отметить, что даже несмотря на то, что уведомления были частью POC (proof of concept) Абхишека и его команды, любой злоумышленник также может воспользоваться уязвимостью в будущем, пока разработчики не предпримут быстрых действий и не предпримут какие-либо действия с открытыми ключами API.
Теперь, когда вы знаете причину этих уведомлений, вам следует отдохнуть. Но вы также должны оставаться осторожными и быть начеку, если злоумышленник не превратит эти уведомления во что-то иное, нежели безвредное.