Una vulnerabilità recentemente scoperta in Firebase Cloud Messaging ha portato a strane notifiche da app come Microsoft Teams e Hangouts.
Sembra che non possa passare un giorno senza che un'altra significativa falla di sicurezza compaia da qualche parte in qualche software o servizio. Questa settimana sembra essere il momento giusto per Firebase Cloud Messaging di imbattersi in una vulnerabilità facilmente sfruttabile.
Messaggistica cloud Firebase è un framework di Google che aiuta a rendere più semplice la consegna delle notifiche tramite app su quasi tutte le piattaforme. Con una semplice configurazione sia della tua app che di un server, puoi inviare notifiche push generali o mirate ai tuoi utenti in pochi minuti. La maggior parte delle app Android che forniscono notifiche push probabilmente utilizzano Firebase Cloud Messaging (o il legacy Google Cloud Messaging) per farlo. Ciò include le app di singoli sviluppatori hobbisti alle app di aziende giganti come Microsoft e, ovviamente, Google.
L'impresa
Ed è qui che entra in gioco questo exploit. Se usi app come Microsoft Teams O Google Hangouts, potresti aver notato di recente l'arrivo di notifiche casuali, come quelle nello screenshot seguente. Questi provengono da persone che sfruttano configurazioni improprie di Firebase Cloud Messaging.
Non entrerò troppo nei dettagli qui, ma questo problema non è proprio colpa di Google. Per inviare in modo sicuro le notifiche push, Google richiede che il server che le invia effettivamente invii anche una chiave per verificare che siano autentiche. Questa chiave dovrebbe essere solo nella tua console Firebase e sul tuo server.
Ma anche le app interessate, per qualsiasi motivo, hanno la chiave incorporata. Non è utilizzato, ma è lì, in chiaro, affinché chiunque possa vederlo e utilizzarlo. Per ironia della sorte, Google Hangouts e Google Play Music sembrano essere vulnerabili a questo exploit, così come Microsoft Teams. Quindi è un po' colpa di Google, ma anche no.
E può essere usato per scopi piuttosto nefasti. Anche se sembra che la maggior parte delle "implementazioni" di questa vulnerabilità siano state utilizzate solo per inviare messaggi strani alle persone, è possibile che un utente malintenzionato esegua una truffa di phishing. Il testo della notifica potrebbe essere qualcosa del tipo: "La tua sessione è scaduta. Tocca qui per accedere di nuovo", con un URL che viene avviato quando lo tocchi. Quell'URL potrebbe finire per essere un sito con uno stile simile, ad esempio, alla pagina di accesso di Microsoft. Ma invece di accedere a Microsoft, stai dando a qualcuno il tuo login.
Cosa dovrebbero fare gli utenti?
Niente. Non c'è molto che tu, come utente, puoi fare per interrompere queste notifiche. Puoi bloccare i canali da cui arrivano (o bloccare del tutto le notifiche dall'app), ma non puoi filtrare le notifiche illegittime, poiché, per quanto ne sa Firebase, Sono legittimo.
Quello che puoi fare, però, è stare attento. Se ricevi una notifica che sembra richiedere i tuoi dettagli di accesso o qualsiasi altra informazione personale, non toccarla. Apri invece direttamente l'app. Se la notifica era reale, l'app lo indicherà. Altrimenti si è trattato probabilmente di un tentativo di phishing. Se tocchi una notifica, chiudi immediatamente qualsiasi sito Web che si apre.
E infine, se hai già inserito la tua password da qualche parte tramite una notifica, cambiala immediatamente, annulla l'autorizzazione di tutti i dispositivi a cui hai effettuato l'accesso (se applicabile) e, in caso contrario, attiva l'autenticazione a due fattori Già.
Cosa dovrebbero fare gli sviluppatori?
Se hai implementato Firebase Cloud Messaging nelle tue app, controlla i file di configurazione per assicurarti che le chiavi del tuo server non siano presenti. Se lo sono, invalidali immediatamente, creane di nuovi e riconfigura il tuo server.
Ancora una volta, questo non è un articolo molto tecnico, quindi ti consigliamo di visitare i collegamenti seguenti per ulteriori informazioni sulla mitigazione.
Risposte di Google e Microsoft
Lo ha detto un portavoce di Google Il sorso quotidiano che il problema era “specificamente correlato agli sviluppatori che includevano chiavi API nel loro codice per servizi che non dovrebbero essere incluso, che potrebbe poi essere sfruttato”, piuttosto che il servizio Firebase Cloud Messaging stesso compromesso. "Nei casi in cui Google è in grado di identificare che viene utilizzata una chiave del server, cerchiamo di avvisare gli sviluppatori in modo che possano riparare la loro app", ha aggiunto il portavoce.
Microsoft ha rilasciato la seguente dichiarazione su Twitter:
Ulteriori letture
Ecco un paio di articoli che approfondiscono in modo molto più dettagliato cos'è questo exploit, come funziona e come puoi assicurarti di non essere vulnerabile. Se sei uno sviluppatore di app o sei semplicemente interessato a scoprire come funziona, dai un'occhiata.
- Acquisizione del servizio Firebase Cloud Messaging: una piccola ricerca che ha portato a più di 30.000 dollari in premi
- La vulnerabilità della messaggistica di Google Firebase ha consentito agli aggressori di inviare notifiche push agli utenti dell'app