Scopri la verità dietro queste notifiche che sono saltate fuori dal nulla
Ci affidiamo alle notifiche delle app per tenerci informati su cosa sta succedendo. Immagina se non hai ricevuto alcuna notifica e ti sei perso le notizie importanti e le cose per cui fai affidamento su di loro. Ma ricevere notifiche misteriose può essere preoccupante tanto quanto non riceverne.
E molte persone hanno ricevuto "Messaggi FCM. Notifica di prova" o notifiche simili da app come Google Hangout e Microsoft Teams. Quindi è naturale che tu sia preoccupato e, allo stesso tempo, curioso di questo enigma. Se hai pensato a cosa sono o perché li stai ricevendo, continua a leggere!
Che cos'è la notifica di prova dei messaggi FCM?
Molti utenti Android hanno segnalato di aver ricevuto queste notifiche di messaggi FCM che assomigliano a questo:
Messaggi FCM
Notifiche di prova!!!
Il numero di S nella notifica continua a variare. Ora, le s extra e i punti esclamativi sono una prova sufficiente che c'è qualcosa di sospetto in queste notifiche. Quindi aggiungi il fattore che non succede nulla quando apri l'app usando queste notifiche; si apre solo la normale interfaccia dell'app come se non avessi aperto l'app tramite questa notifica. Non c'è traccia di loro. Allora, cosa sono esattamente?
Queste notifiche sono il risultato di una vulnerabilità nel servizio Firebase Cloud Messaging (FCM). Firebase è una piattaforma di Google che gli sviluppatori utilizzano per creare app mobili e web. Vale la pena notare che molte app utilizzano FCM per inviare notifiche.
Abhishek Dharani, alias "Abss", ha scoperto la vulnerabilità dopo aver scavato nei file APK per queste app. I file APK hanno esposto chiavi API sensibili che chiunque potrebbe trovare esaminando i file con un pettine a denti fini. La vulnerabilità gli ha permesso di inviare queste notifiche agli utenti dell'app mobile di app come Hangout, Microsoft Teams, Google Play Music, YouTube, ecc.
E dopo aver armeggiato con le condizioni e le espressioni logiche, sono stati persino in grado di inviare notifiche agli utenti non abbonati alle notifiche per queste app. Ci sono anche segnalazioni che queste notifiche sono state in grado di aggirare l'impostazione "ore silenziose" in Microsoft Teams quando la pp tecnicamente non dovrebbe fornire alcuna notifica.
C'è qualcosa di cui preoccuparsi?
Poiché queste notifiche sono innocue in questo momento, non è necessario preoccuparsi troppo. Ma non c'è nulla di male nell'essere attenti poiché qualcuno può anche utilizzare queste notifiche per inviare informazioni false ed eseguire attacchi di phishing di massa.
Google è già a conoscenza della vulnerabilità e sta indagando sulla questione. Non ci sono ancora parole di riconoscimento da parte di Microsoft in merito.
Vale la pena notare che anche se le notifiche facevano parte di un POC (prova di concetto) di Abhishek e del suo team, qualsiasi utente malintenzionato può anche abusare della vulnerabilità in futuro fino a quando gli sviluppatori non intervengono rapidamente e fanno qualcosa per le chiavi API esposte.
Ora che conosci il motivo dietro queste notifiche, dovrebbe tranquillizzarti. Ma dovresti anche rimanere cauto e stare attento se queste notifiche si trasformano in qualcosa di diverso dall'innocuo da parte di un utente malintenzionato.