FCM hyödyntää outoja ilmoituksia Microsoft Teamsista, Hangoutsista

SekalaistaNov 11, 2023
click fraud protection

Äskettäin paljastettu Firebase Cloud Messagingin haavoittuvuus on johtanut outoihin ilmoituksiin sovelluksista, kuten Microsoft Teams ja Hangouts.

Näyttää siltä, ​​että emme voi mennä päivääkään ilman, että jostain ohjelmistosta tai palvelusta ilmaantuisi toinen merkittävä tietoturvavirhe. Tällä viikolla näyttää olevan Firebase Cloud Messagingin aika kohdata helposti hyödynnettävä haavoittuvuus.

Firebase Cloud Messaging on Googlen kehys, joka helpottaa ilmoitusten toimittamista sovellusten kautta lähes kaikilla alustoilla. Sekä sovelluksesi että palvelimesi yksinkertaisella määrityksellä voit lähettää yleisiä tai kohdistettuja push-ilmoituksia käyttäjillesi muutamassa minuutissa. Useimmat push-ilmoituksia lähettävät Android-sovellukset käyttävät todennäköisesti Firebase Cloud Messaging -palvelua (tai vanhaa Google Cloud Messaging -palvelua). Se sisältää sovelluksia yksittäisiltä harrastajakehittäjiltä suuryritysten, kuten Microsoftin ja tietysti Googlen, sovelluksia.

The Exploit

Ja tässä tämä hyväksikäyttö tulee esiin. Jos käytät sovelluksia, kuten

Microsoft Teams tai Google Hangouts, olet ehkä hiljattain huomannut satunnaisia ​​ilmoituksia, kuten seuraavassa kuvakaappauksessa. Nämä ovat ihmisiltä, ​​jotka käyttävät hyväkseen Firebase Cloud Messagingin virheellisiä määrityksiä.

Kuvakaappaus osoitteesta /u/ToTooThenThan Redditissä.

En mene tässä liian yksityiskohtiin, mutta tämä ongelma ei todellakaan ole Googlen vika. Jotta push-ilmoitukset voidaan lähettää turvallisesti, Google edellyttää, että palvelin, joka todella lähettää ne, lähettää myös avaimen niiden aitouden vahvistamiseksi. Tämän avaimen oletetaan olevan vain Firebase-konsolissasi ja palvelimellasi.

Mutta kyseisissä sovelluksissa on jostain syystä myös sisäänrakennettu avain. Sitä ei käytetä, mutta se on siellä, selkeänä tekstinä, kaikkien nähtäväksi ja käytettäväksi. Hieman ironista kyllä, Google Hangouts ja Google Play Musiikki näyttävät olevan alttiina tälle hyväksikäytölle, samoin kuin Microsoft Teams. Joten se on tavallaan Googlen vika, mutta ei myöskään oikeastaan.

Ja sitä voidaan käyttää melko ilkeisiin tarkoituksiin. Vaikka näyttää siltä, ​​että useimpia tämän haavoittuvuuden "toteutuksia" on käytetty vain outojen tekstien lähettämiseen ihmisille, on mahdollista, että hyökkääjä suorittaa tietojenkalasteluhuijauksen. Ilmoituksen teksti voi olla jotain tällaista: "Istuntosi on vanhentunut. Napauta tätä kirjautuaksesi uudelleen sisään", jonka URL-osoite käynnistetään, kun napautat sitä. Tämä URL-osoite voi lopulta olla sivusto, joka on muotoiltu näyttämään esimerkiksi Microsoftin kirjautumissivulta. Microsoftiin kirjautumisen sijaan annat jollekulle kirjautumistunnuksesi.

Mitä käyttäjien tulee tehdä?

Ei mitään. Sinä käyttäjänä et voi tehdä paljoa näiden ilmoitusten lopettamiseksi. Voit estää kanavat, joille ne tulevat (tai estää sovelluksen ilmoitukset kokonaan), mutta et voi suodattaa laittomia ilmoituksia pois, koska Firebasen tiedossa ovat laillista.

Mutta mitä voit tehdä, on olla varovainen. Jos saat ilmoituksen, joka näyttää pyytävän kirjautumistietojasi tai muita henkilökohtaisia ​​tietojasi, älä kosketa sitä. Avaa sen sijaan sovellus suoraan. Jos ilmoitus oli todellinen, sovellus ilmoittaa siitä. Muuten kyseessä oli todennäköisesti tietojenkalasteluyritys. Jos napautat ilmoitusta, sulje välittömästi kaikki avautuvat verkkosivustot.

Ja lopuksi, jos olet jo syöttänyt salasanasi jonnekin ilmoituksen kautta, vaihda se välittömästi, poista kaikkien sisäänkirjautuneiden laitteiden valtuutus (jos mahdollista) ja ota kaksivaiheinen todennus käyttöön, jos et ole jo.

Mitä kehittäjien tulisi tehdä?

Jos olet ottanut Firebase Cloud Messagingin käyttöön sovelluksissasi, tarkista määritystiedostot varmistaaksesi, että palvelinavaimet eivät ole siellä. Jos ne ovat, mitätöi ne välittömästi, luo uusia ja määritä palvelimesi uudelleen.

Tämäkään ei ole kovin tekninen artikkeli, joten sinun kannattaa käydä alla olevissa linkeissä saadaksesi lisätietoja lieventämisestä.

Googlen ja Microsoftin vastaukset

Googlen tiedottaja kertoi Päivittäinen Swig että ongelma liittyi erityisesti kehittäjiin, jotka sisällyttivät koodiinsa API-avaimia palveluille, joiden ei pitäisi sisällytettäväksi, jota voitaisiin sitten hyödyntää", eikä itse Firebase Cloud Messaging -palvelua vaarantunut. "Tapauksissa, joissa Google pystyy tunnistamaan, että palvelinavainta käytetään, yritämme varoittaa kehittäjiä, jotta he voivat korjata sovelluksensa", tiedottaja lisäsi.

Microsoft julkaisi Twitterissä seuraavan lausunnon:

Lue lisää

Tässä on pari artikkelia, jotka käsittelevät paljon yksityiskohtaisemmin siitä, mitä tämä hyväksikäyttö on, miten se toimii ja kuinka voit varmistaa, ettet ole haavoittuvainen. Jos olet sovelluskehittäjä tai olet vain kiinnostunut näkemään, miten tämä toimii, katso.

  • Firebase Cloud Messaging Service Takeover: Pieni tutkimus, joka johti yli 30 000 $ palkkioihin
  • Google Firebase -viestintähaavoittuvuus antoi hyökkääjille mahdollisuuden lähettää push-ilmoituksia sovelluksen käyttäjille