Microsoft Teams, Hangouts की अजीब सूचनाओं के पीछे FCM का शोषण

फायरबेस क्लाउड मैसेजिंग में हाल ही में सामने आई भेद्यता के कारण माइक्रोसॉफ्ट टीम्स और हैंगआउट्स जैसे ऐप्स से अजीब सूचनाएं आने लगी हैं।

ऐसा लगता है कि हम एक दिन भी ऐसा नहीं बिता सकते जब किसी सॉफ़्टवेयर या सेवा में कोई अन्य महत्वपूर्ण सुरक्षा खामी सामने न आए। ऐसा लगता है कि यह सप्ताह फायरबेस क्लाउड मैसेजिंग के लिए आसानी से शोषण योग्य भेद्यता का सामना करने का समय है।

फायरबेस क्लाउड मैसेजिंग लगभग किसी भी प्लेटफ़ॉर्म पर ऐप्स के माध्यम से सूचनाएं वितरित करना आसान बनाने में मदद करने के लिए Google द्वारा एक रूपरेखा है। अपने ऐप और सर्वर दोनों के कुछ सरल कॉन्फ़िगरेशन के साथ, आप मिनटों के भीतर अपने उपयोगकर्ताओं को सामान्य या लक्षित पुश सूचनाएं भेज सकते हैं। अधिकांश एंड्रॉइड ऐप्स जो पुश नोटिफिकेशन वितरित करते हैं, संभवतः ऐसा करने के लिए फायरबेस क्लाउड मैसेजिंग (या लीगेसी Google क्लाउड मैसेजिंग) का उपयोग करते हैं। इसमें एकल शौकिया डेवलपर्स के ऐप्स से लेकर Microsoft और निश्चित रूप से Google जैसे विशाल निगमों के ऐप्स शामिल हैं।

शोषण

और यहीं से यह शोषण सामने आता है। यदि आप जैसे ऐप्स का उपयोग करते हैं माइक्रोसॉफ्ट टीमें

या गूगल हैंगआउट, आपने हाल ही में यादृच्छिक सूचनाएं आते देखी होंगी, जैसे कि निम्नलिखित स्क्रीनशॉट में हैं। ये फ़ायरबेस क्लाउड मैसेजिंग की अनुचित कॉन्फ़िगरेशन का लाभ उठाने वाले लोगों से हैं।

Reddit पर /u/ToTooThenThan से स्क्रीनशॉट।

मैं यहां अधिक विस्तार में नहीं जाऊंगा, लेकिन यह समस्या वास्तव में Google की गलती नहीं है। पुश सूचनाओं को सुरक्षित रूप से भेजने के लिए, Google को यह आवश्यक है कि जो सर्वर वास्तव में उन्हें भेज रहा है वह यह सत्यापित करने के लिए एक कुंजी भी भेजे कि वे वास्तविक हैं। यह कुंजी केवल आपके फायरबेस कंसोल और आपके सर्वर पर होनी चाहिए।

लेकिन प्रभावित ऐप्स में, किसी भी कारण से, कुंजी भी अंतर्निहित होती है। इसका उपयोग नहीं किया जाता है, लेकिन यह सादे पाठ में किसी के भी देखने और उपयोग के लिए मौजूद है। कुछ हद तक विडंबना यह है कि Google Hangouts और Google Play Music, साथ ही Microsoft Teams भी इस शोषण के प्रति संवेदनशील प्रतीत होते हैं। तो यह एक तरह से Google की गलती है, लेकिन वास्तव में नहीं भी।

और इसका उपयोग बहुत ही नापाक उद्देश्यों के लिए किया जा सकता है। हालांकि ऐसा लगता है कि इस भेद्यता के अधिकांश "कार्यान्वयन" का उपयोग केवल लोगों को अजीब पाठ भेजने के लिए किया गया है, एक हमलावर के लिए फ़िशिंग घोटाले को अंजाम देना संभव है। अधिसूचना का पाठ कुछ इस प्रकार हो सकता है, "आपका सत्र समाप्त हो गया है। कृपया दोबारा साइन इन करने के लिए यहां टैप करें," एक यूआरएल के साथ जो टैप करते ही लॉन्च हो जाता है। वह यूआरएल अंततः माइक्रोसॉफ्ट के लॉगिन पेज की तरह दिखने वाली एक साइट बन सकता है। लेकिन Microsoft में लॉग इन करने के बजाय, आप किसी को अपना लॉगिन दे रहे हैं।

उपयोगकर्ताओं को क्या करना चाहिए?

कुछ नहीं। एक उपयोगकर्ता के रूप में आप इन सूचनाओं को रोकने के लिए बहुत कुछ नहीं कर सकते। आप उन चैनलों को ब्लॉक कर सकते हैं जिन पर वे आते हैं (या ऐप से नोटिफिकेशन को पूरी तरह से ब्लॉक कर सकते हैं), लेकिन आप नाजायज नोटिफिकेशन को फ़िल्टर नहीं कर सकते, क्योंकि, जहां तक ​​फायरबेस को पता है, वे हैं वैध।

हालाँकि, आप जो कर सकते हैं, वह है सावधान रहना। यदि आपको कोई अधिसूचना मिलती है जो आपके लॉगिन विवरण-या उस मामले के लिए कोई अन्य व्यक्तिगत जानकारी मांगती प्रतीत होती है-तो उस पर टैप न करें। इसके बजाय, सीधे ऐप खोलें। यदि अधिसूचना वास्तविक थी, तो ऐप इसका संकेत देगा। अन्यथा, यह संभवतः एक फ़िशिंग प्रयास था। यदि आप किसी अधिसूचना पर टैप करते हैं, तो खुलने वाली किसी भी वेबसाइट को तुरंत बंद कर दें।

और अंत में, यदि आपने अपना पासवर्ड पहले ही किसी अधिसूचना के माध्यम से कहीं डाल दिया है, तो इसे तुरंत बदल लें, सभी लॉग-इन डिवाइसों को अनधिकृत करें (यदि लागू हो), और यदि आपने नहीं किया है तो दो-कारक प्रमाणीकरण सक्षम करें पहले से।

डेवलपर्स को क्या करना चाहिए?

यदि आपने अपने ऐप्स में फायरबेस क्लाउड मैसेजिंग लागू किया है, तो यह सुनिश्चित करने के लिए कॉन्फ़िगरेशन फ़ाइलों की जांच करें कि आपकी सर्वर कुंजी वहां नहीं हैं। यदि वे हैं, तो उन्हें तुरंत अमान्य करें, नए बनाएं और अपने सर्वर को पुन: कॉन्फ़िगर करें।

फिर, यह कोई बहुत तकनीकी लेख नहीं है, इसलिए आप शमन पर अधिक जानकारी के लिए नीचे दिए गए लिंक पर जाना चाहेंगे।

Google और Microsoft प्रतिक्रियाएँ

गूगल के एक प्रवक्ता ने बताया द डेली स्विग यह मुद्दा "विशेष रूप से डेवलपर्स से संबंधित था जिसमें सेवाओं के लिए उनके कोड में एपीआई कुंजी शामिल थी जो नहीं होनी चाहिए शामिल किया जाए, जिसका फ़ायदा उठाया जा सके,” बजाय इसके कि फ़ायरबेस क्लाउड मैसेजिंग सेवा ही मौजूद हो समझौता किया. प्रवक्ता ने कहा, "ऐसे मामलों में जहां Google यह पहचानने में सक्षम है कि सर्वर कुंजी का उपयोग किया गया है, हम डेवलपर्स को सचेत करने का प्रयास करते हैं ताकि वे अपने ऐप को ठीक कर सकें।"

माइक्रोसॉफ्ट ने ट्विटर पर निम्नलिखित बयान जारी किया:

अग्रिम पठन

यहां कुछ लेख हैं जो इस बारे में अधिक विस्तार से बताते हैं कि यह शोषण क्या है, यह कैसे काम करता है, और आप कैसे सुनिश्चित कर सकते हैं कि आप असुरक्षित नहीं हैं। यदि आप एक ऐप डेवलपर हैं, या आप केवल यह जांचने में रुचि रखते हैं कि यह कैसे काम करता है, तो एक नज़र डालें।

  • फायरबेस क्लाउड मैसेजिंग सर्विस टेकओवर: एक छोटा सा शोध जिसके कारण 30k$+ का इनाम मिला
  • Google फ़ायरबेस मैसेजिंग भेद्यता ने हमलावरों को ऐप उपयोगकर्ताओं को पुश सूचनाएं भेजने की अनुमति दी