Una vulnerabilidad recientemente revelada en Firebase Cloud Messaging ha generado notificaciones extrañas de aplicaciones como Microsoft Teams y Hangouts.
Parece que no podemos pasar un día sin que aparezca otra falla de seguridad importante en algún software o servicio. Esta semana parece ser el momento para que Firebase Cloud Messaging se tope con una vulnerabilidad fácilmente explotable.
Mensajería en la nube de Firebase es un marco de Google para ayudar a facilitar la entrega de notificaciones a través de aplicaciones en casi cualquier plataforma. Con una configuración simple tanto de su aplicación como de un servidor, puede enviar notificaciones push generales o específicas a sus usuarios en cuestión de minutos. La mayoría de las aplicaciones de Android que entregan notificaciones push probablemente utilicen Firebase Cloud Messaging (o el heredado Google Cloud Messaging) para hacerlo. Esto incluye aplicaciones de desarrolladores aficionados individuales hasta aplicaciones de corporaciones gigantes como Microsoft y, por supuesto, Google.
La hazaña
Y ahí es donde entra en juego este exploit. Si usas aplicaciones como Equipos de Microsoft o Hangouts de Google, es posible que hayas notado recientemente que llegan notificaciones aleatorias, como las que se muestran en la siguiente captura de pantalla. Estos provienen de personas que se aprovechan de configuraciones inadecuadas de Firebase Cloud Messaging.
No entraré en demasiados detalles aquí, pero este problema no es realmente culpa de Google. Para enviar notificaciones automáticas de forma segura, Google requiere que el servidor que realmente las envía también envíe una clave para validar que son genuinas. Se supone que esta clave solo debe estar en su consola Firebase y en su servidor.
Pero las aplicaciones afectadas, por el motivo que sea, también tienen la clave integrada. No se utiliza, pero está ahí, en texto plano, para que cualquiera pueda verlo y utilizarlo. Irónicamente, Google Hangouts y Google Play Music parecen ser vulnerables a este exploit, al igual que Microsoft Teams. Así que en cierto modo es culpa de Google, pero tampoco del todo.
Y puede usarse para propósitos bastante nefastos. Si bien parece que la mayoría de las "implementaciones" de esta vulnerabilidad solo se han utilizado para enviar mensajes de texto extraños a personas, es posible que un atacante ejecute una estafa de phishing. El texto de la notificación podría ser algo así como "Su sesión ha caducado. Toque aquí para iniciar sesión nuevamente", con una URL que se abre cuando la toca. Esa URL podría terminar siendo un sitio diseñado para parecerse, por ejemplo, a la página de inicio de sesión de Microsoft. Pero en lugar de iniciar sesión en Microsoft, le estás dando a alguien tu nombre de usuario.
¿Qué deben hacer los usuarios?
Nada. No hay mucho que usted, como usuario, pueda hacer para detener estas notificaciones. Puede bloquear los canales a los que ingresan (o bloquear las notificaciones de la aplicación por completo), pero no puede filtrar las notificaciones ilegítimas, ya que, hasta donde sabe Firebase, son legítimo.
Sin embargo, lo que puedes hacer es tener cuidado. Si recibe una notificación que parece pedirle sus datos de inicio de sesión, o cualquier otra información personal, no la toque. En su lugar, abra la aplicación directamente. Si la notificación fue real, la aplicación lo indicará. De lo contrario, probablemente se trató de un intento de phishing. Si toca una notificación, cierre inmediatamente cualquier sitio web que se abra.
Y finalmente, si ya ingresaste tu contraseña en algún lugar a través de una notificación, cámbiala inmediatamente. desautorizar todos los dispositivos conectados (si corresponde) y habilitar la autenticación de dos factores si no lo ha hecho ya.
¿Qué deberían hacer los desarrolladores?
Si implementó Firebase Cloud Messaging en sus aplicaciones, verifique los archivos de configuración para asegurarse de que las claves de su servidor no estén allí. Si es así, invalidelos inmediatamente, cree otros nuevos y reconfigure su servidor.
Nuevamente, este no es un artículo muy técnico, por lo que querrás visitar los enlaces a continuación para obtener más información sobre la mitigación.
Respuestas de Google y Microsoft
Un portavoz de Google dijo El trago diario que el problema estaba "específicamente relacionado con los desarrolladores que incluían claves API en su código para servicios que no deberían incluirse, que luego podría explotarse”, en lugar de que se incluya el servicio Firebase Cloud Messaging en sí. comprometida. "En los casos en que Google es capaz de identificar que se utiliza una clave de servidor, intentamos alertar a los desarrolladores para que puedan arreglar su aplicación", añadió el portavoz.
Microsoft emitió la siguiente declaración en Twitter:
Otras lecturas
Aquí hay un par de artículos que detallan mucho más sobre qué es este exploit, cómo funciona y cómo puede asegurarse de no ser vulnerable. Si es desarrollador de aplicaciones o simplemente está interesado en comprobar cómo funciona, eche un vistazo.
- Adquisición del servicio de mensajería en la nube de Firebase: una pequeña investigación que generó más de 30.000 dólares en recompensas
- La vulnerabilidad de mensajería de Google Firebase permitió a los atacantes enviar notificaciones automáticas a los usuarios de la aplicación