تستغل FCM الإشعارات الغريبة من Microsoft Teams وHangouts

منوعاتNov 11, 2023
click fraud protection

أدت الثغرة الأمنية التي تم الكشف عنها مؤخرًا في Firebase Cloud Messaging إلى ظهور إشعارات غريبة من تطبيقات مثل Microsoft Teams وHangouts.

يبدو أننا لا نستطيع أن نمضي يومًا دون ظهور خلل أمني كبير آخر في مكان ما في بعض البرامج أو الخدمات. يبدو أن هذا الأسبوع هو الوقت المناسب لمواجهة Firebase Cloud Messaging ثغرة أمنية يمكن استغلالها بسهولة.

المراسلة السحابية من Firebase هو إطار عمل من Google للمساعدة في تسهيل تسليم الإشعارات عبر التطبيقات على أي نظام أساسي تقريبًا. من خلال بعض التكوينات البسيطة لكل من التطبيق والخادم، يمكنك إرسال إشعارات عامة أو مستهدفة إلى المستخدمين في غضون دقائق. من المحتمل أن تستخدم معظم تطبيقات Android التي تقدم إشعارات الدفع Firebase Cloud Messaging (أو Google Cloud Messaging القديم) للقيام بذلك. يتضمن ذلك تطبيقات من مطورين هواة فرديين إلى تطبيقات من شركات عملاقة مثل Microsoft وبالطبع Google.

الاستغلال

وهنا يأتي دور هذا الاستغلال. إذا كنت تستخدم تطبيقات مثل فرق مايكروسوفت أو جوجل هانج آوتس، ربما لاحظت مؤخرًا وصول إشعارات عشوائية، مثل تلك الموجودة في لقطة الشاشة التالية. هذه من الأشخاص الذين يستفيدون من التكوينات غير الصحيحة لـ Firebase Cloud Messaging.

لقطة شاشة من /u/ToTooThenThan على Reddit.

لن أخوض في الكثير من التفاصيل هنا، لكن هذه المشكلة ليست خطأ Google حقًا. لإرسال الإشعارات بشكل آمن، تطلب Google من الخادم الذي يرسلها فعليًا أن يرسل أيضًا مفتاحًا للتحقق من صحتها. من المفترض أن يكون هذا المفتاح موجودًا فقط في وحدة تحكم Firebase الخاصة بك وعلى الخادم الخاص بك.

لكن التطبيقات المتأثرة، لأي سبب كان، تحتوي أيضًا على المفتاح المدمج فيها. لم يتم استخدامه، ولكنه موجود، بنص عادي، ليراه ويستخدمه أي شخص. ومن المفارقات إلى حد ما، أن Google Hangouts وGoogle Play Music يبدوان عرضة لهذا الاستغلال، بالإضافة إلى Microsoft Teams. لذا، فهذا نوع من خطأ Google، ولكنه ليس خطأً حقيقيًا أيضًا.

ويمكن استخدامه لأغراض شنيعة جدًا. على الرغم من أنه يبدو أن معظم "تطبيقات" هذه الثغرة الأمنية قد تم استخدامها فقط لإرسال رسائل نصية غريبة إلى الأشخاص، فمن الممكن للمهاجم تنفيذ عملية تصيد احتيالي. يمكن أن يكون نص الإشعار على النحو التالي: "لقد انتهت صلاحية جلستك. يرجى النقر هنا لتسجيل الدخول مرة أخرى،" مع عنوان URL الذي يتم تشغيله عند النقر عليه. يمكن أن يصبح عنوان URL هذا في نهاية المطاف موقعًا مصممًا ليبدو مثل صفحة تسجيل الدخول إلى Microsoft. ولكن بدلاً من تسجيل الدخول إلى Microsoft، فإنك تمنح شخصًا ما معلومات تسجيل الدخول الخاصة بك.

ماذا يجب على المستخدمين فعله؟

لا شئ. ليس هناك الكثير الذي يمكنك فعله، كمستخدم، لإيقاف هذه الإشعارات. يمكنك حظر القنوات التي يأتون إليها (أو حظر الإشعارات من التطبيق تمامًا)، ولكن لا يمكنك تصفية الإشعارات غير الشرعية، لأنها، على حد علم Firebase، نكون شرعي.

لكن ما يمكنك فعله هو توخي الحذر. إذا تلقيت إشعارًا يبدو أنه يطلب منك تفاصيل تسجيل الدخول الخاصة بك - أو أي معلومات شخصية أخرى في هذا الشأن - فلا تنقر عليه. بدلا من ذلك، افتح التطبيق مباشرة. إذا كان الإشعار حقيقيًا، فسيشير التطبيق إلى ذلك. بخلاف ذلك، فمن المحتمل أن تكون محاولة تصيد احتيالي. إذا قمت بالنقر فوق أحد الإشعارات، فأغلق أي موقع ويب يتم فتحه على الفور.

وأخيرًا، إذا قمت بالفعل بوضع كلمة المرور الخاصة بك في مكان ما من خلال إشعار، فقم بتغييرها على الفور، قم بإلغاء ترخيص جميع الأجهزة التي تم تسجيل الدخول إليها (إن أمكن)، وقم بتمكين المصادقة الثنائية إذا لم تقم بذلك بالفعل.

ما الذي يجب على المطورين فعله؟

إذا قمت بتطبيق Firebase Cloud Messaging في تطبيقاتك، فتحقق من ملفات التكوين للتأكد من عدم وجود مفاتيح الخادم لديك. إذا كانت كذلك، قم بإبطالها على الفور وإنشاء أخرى جديدة وإعادة تكوين الخادم الخاص بك.

مرة أخرى، هذه ليست مقالة فنية للغاية، لذا ستحتاج إلى زيارة الروابط أدناه للحصول على مزيد من المعلومات حول التخفيف.

ردود جوجل ومايكروسوفت

وقال متحدث باسم جوجل ديلي سويج أن المشكلة "تتعلق على وجه التحديد بالمطورين بما في ذلك مفاتيح واجهة برمجة التطبيقات (API) في التعليمات البرمجية الخاصة بهم للخدمات التي لا ينبغي أن تفعل ذلك يمكن تضمينها، والتي يمكن بعد ذلك استغلالها"، بدلاً من خدمة Firebase Cloud Messaging نفسها مساومة. وأضاف المتحدث: "في الحالات التي تتمكن فيها Google من تحديد مفتاح الخادم المستخدم، نحاول تنبيه المطورين حتى يتمكنوا من إصلاح تطبيقهم".

أصدرت مايكروسوفت البيان التالي على تويتر:

قراءة متعمقة

فيما يلي بعض المقالات التي تتناول المزيد من التفاصيل حول ماهية هذا الاستغلال وكيفية عمله وكيف يمكنك التأكد من أنك لست عرضة للخطر. إذا كنت أحد مطوري التطبيقات، أو كنت مهتمًا فقط بمعرفة كيفية عمل ذلك، فقم بإلقاء نظرة.

  • الاستيلاء على خدمة Firebase Cloud Messaging Service: بحث صغير أدى إلى الحصول على مكافآت بقيمة 30 ألف دولار أمريكي
  • سمحت ثغرة المراسلة في Google Firebase للمهاجمين بإرسال إشعارات الدفع إلى مستخدمي التطبيق