Hiljuti avalikustatud haavatavus Firebase'i pilvsõnumsides on toonud kaasa kummalisi teateid sellistest rakendustest nagu Microsoft Teams ja Hangouts.
Näib, et me ei saa mööduda päevagi ilma, et mõnes tarkvaras või teenuses ei ilmneks mõni teine oluline turvaviga. Tundub, et see nädal on Firebase'i pilvsõnumside jaoks aeg, mil tuleb vastu tulla kergesti ärakasutatava haavatavusega.
Firebase'i pilvsõnumid on Google'i raamistik, mis aitab muuta märguannete edastamine rakenduste kaudu peaaegu igal platvormil lihtsamaks. Nii oma rakenduse kui ka serveri lihtsa konfigureerimisega saate kasutajatele mõne minuti jooksul saata üldisi või suunatud tõukemärguandeid. Enamik tõukemärguandeid edastavaid Androidi rakendusi kasutab selleks tõenäoliselt Firebase'i pilvsõnumside (või pärand Google'i pilvsõnumside) rakendust. See hõlmab rakendusi üksikutelt harrastajatelt arendajatelt kuni hiiglaslike ettevõtete, nagu Microsoft ja loomulikult Google, rakendusteni.
Ärakasutamine
Ja siin see ärakasutamine tulebki. Kui kasutate selliseid rakendusi nagu
Microsoft Teams või Google Hangouts, võisite hiljuti märgata juhuslikke märguandeid, nagu järgmisel ekraanipildil. Need pärinevad inimestelt, kes kasutavad Firebase'i pilvsõnumside sobimatuid konfiguratsioone.Ma ei lasku siin liiga üksikasjalikult, kuid see probleem pole tegelikult Google'i süü. Tõukemärguannete turvaliseks saatmiseks nõuab Google, et server, mis neid tegelikult saadab, saadaks ka nende ehtsuse kinnitamiseks võtme. See võti peaks olema ainult teie Firebase'i konsoolis ja teie serveris.
Kuid mõjutatud rakendustel on mingil põhjusel ka võti sisse ehitatud. Seda ei kasutata, kuid see on olemas, lihttekstina, et kõik saaksid seda näha ja kasutada. Mõnevõrra iroonilisel kombel näivad Google Hangouts ja Google Play muusika olevat selle ärakasutamise suhtes haavatavad, nagu ka Microsoft Teams. Nii et see on omamoodi Google'i süü, kuid ka mitte tegelikult.
Ja seda saab kasutada üsna alatutel eesmärkidel. Kuigi näib, et enamikku selle haavatavuse "rakendusi" on kasutatud ainult inimestele veidrate tekstide saatmiseks, on ründajal võimalik andmepüügipettus läbi viia. Teatise tekst võib olla umbes selline: „Teie seanss on aegunud. Uuesti sisselogimiseks puudutage siin" URL-iga, mis käivitatakse selle puudutamisel. See URL võib lõpuks olla sait, mis näeb välja nagu näiteks Microsofti sisselogimisleht. Kuid selle asemel, et Microsofti sisse logida, annate kellelegi oma sisselogimise.
Mida peaksid kasutajad tegema?
Mitte midagi. Teie kasutajana ei saa te nende märguannete peatamiseks palju teha. Saate blokeerida kanalid, kuhu nad sisenevad (või rakenduse märguanded üldse blokeerida), kuid te ei saa ebaseaduslikke teatisi välja filtreerida, kuna Firebase'i teada on need on õigustatud.
Mida saate siiski teha, on olla ettevaatlik. Kui saate teatise, mis näib küsivat teie sisselogimisandmeid või muid isiklikke andmeid, ärge seda puudutage. Selle asemel avage rakendus otse. Kui teade oli tõeline, annab rakendus sellest märku. Muidu oli tõenäoliselt tegemist andmepüügikatsega. Kui puudutate teatist, sulgege kohe mis tahes avanev veebisait.
Ja lõpuks, kui olete oma parooli juba teatise kaudu kuhugi sisestanud, muutke seda kohe, tühistage kõigi sisselogitud seadmete volitused (kui see on kohaldatav) ja lubage kahefaktoriline autentimine, kui te pole seda teinud juba.
Mida peaksid arendajad tegema?
Kui olete oma rakendustesse juurutanud Firebase'i pilvsõnumside, kontrollige konfiguratsioonifaile ja veenduge, et teie serveri võtmed pole seal. Kui need on nii, tühistage need kohe, looge uued ja konfigureerige oma server uuesti.
Jällegi, see ei ole väga tehniline artikkel, seega soovite leevendamise kohta lisateabe saamiseks külastada allolevaid linke.
Google'i ja Microsofti vastused
Google'i pressiesindaja ütles Daily Swig et probleem oli "spetsiaalselt seotud arendajatega, kes lisasid oma koodidesse API võtmed teenuste jaoks, mida ei tohiks teha kaasata, mida saaks siis ära kasutada”, mitte Firebase'i pilvsõnumside teenus ise kompromiteeritud. "Juhul, kui Google suudab tuvastada, et serveri võtit kasutatakse, püüame arendajaid hoiatada, et nad saaksid oma rakendust parandada," lisas pressiesindaja.
Microsoft avaldas Twitteris järgmise avalduse:
Lisalugemist
Siin on paar artiklit, mis käsitlevad palju üksikasjalikumalt, mis see ärakasutamine on, kuidas see toimib ja kuidas saate veenduda, et te pole haavatav. Kui olete rakenduse arendaja või olete lihtsalt huvitatud selle toimimisest, vaadake.
- Firebase'i pilvsõnumside teenuse ülevõtmine: väike uuring, mille tulemusel saadi 30 000 dollarit+ lisatasusid
- Google Firebase'i sõnumside haavatavus võimaldas ründajatel saata rakenduse kasutajatele tõukemärguandeid