Дізнайтеся правду за цими сповіщеннями, які з’явилися раптово
Ми покладаємося на сповіщення додатків, щоб тримати нас в курсі того, що відбувається. Уявіть собі, якби ви не отримували жодних сповіщень і пропустили важливі новини та речі, на які ви покладаєтесь на них. Але отримання таємничих сповіщень може бути так само тривожним, як і неотримання жодних.
І багато людей отримували «повідомлення FCM. Тестове сповіщення» або подібні сповіщення від таких програм, як Google Hangouts і Microsoft Teams. Тож цілком природно, що ви стурбовані і водночас цікавитеся цією загадкою. Якщо ви думали, що це таке або чому ви їх отримуєте, читайте далі!
Що таке тестове сповіщення повідомлень FCM
Багато користувачів Android повідомляють, що отримують сповіщення FCM Messages, які виглядають приблизно так:
Повідомлення FCM
Тестові сповіщення!!!
Кількість S в сповіщенні постійно змінюється. Тепер додаткові символи і знаки оклику є достатнім доказом того, що в цих сповіщеннях є щось неприємне. Потім додайте фактор, що нічого не відбувається, коли ви відкриваєте програму за допомогою цих сповіщень; просто звичайний інтерфейс програми відкривається так, ніби ви не відкривали програму за допомогою цього сповіщення. Від них нема й сліду. Отже, що це таке?
Ці сповіщення є результатом вразливості в службі Firebase Cloud Messaging (FCM). Firebase — це платформа від Google, яку розробники використовують для створення мобільних і веб-додатків. Варто зазначити, що багато програм використовують FCM для доставки сповіщень.
Абхішек Дхарані, він же «Abss», виявив уразливість після копання файлів APK для цих програм. Файли APK відкривали чутливі ключі API, які будь-хто міг знайти, переглянувши файли гребінцем із дрібними зубцями. Уразливість дозволила йому надсилати ці сповіщення користувачам мобільних додатків таких програм, як Hangout, Microsoft Teams, Google Play Music, YouTube тощо.
І після того, як вони повозилися з логічними умовами та виразами, вони навіть змогли надсилати сповіщення користувачам, які не підписалися, на сповіщення для цих програм. Є навіть повідомлення, що ці сповіщення змогли обійти налаштування «тихий час» у Microsoft Teams, коли pp технічно не повинен надсилати жодних сповіщень.
Чи є про що хвилюватися?
Оскільки ці сповіщення зараз нешкідливі, не варто занадто хвилюватися. Але не завадить бути обережним, оскільки хтось також може використовувати ці сповіщення для надсилання неправдивої інформації та здійснення масових фішингових атак.
Google уже знає про вразливість і розслідує цю проблему. Від Microsoft поки що немає жодного підтвердження з цього приводу.
Варто зазначити, що незважаючи на те, що повідомлення були частиною POC (доказ концепції) Абхішека та його команди, будь-який зловмисник також може зловживати вразливістю в майбутньому, доки розробники не вживуть швидких заходів і не зроблять щось із відкритими ключами API.
Тепер, коли ви знаєте причину цих сповіщень, вам слід заспокоїтися. Але ви також повинні залишатися обережними та стежити за тим, якщо зловмисник не перетворить ці сповіщення на щось інше, ніж нешкідливе.