פגיעות שנחשפה לאחרונה ב-Firebase Cloud Messaging הובילה להתראות מוזרות מאפליקציות כמו Microsoft Teams ו-Hangouts.
נראה שאיננו יכולים לעבור יום מבלי שכשל אבטחה משמעותי נוסף יצוץ איפשהו בתוכנה או שירות כלשהו. נראה שהשבוע הגיע הזמן של Firebase Cloud Messaging להיתקל בפגיעות שניתן לנצל בקלות.
Firebase Cloud Messaging היא מסגרת של Google כדי להקל על העברת הודעות דרך אפליקציות כמעט בכל פלטפורמה. עם תצורה פשוטה של האפליקציה שלך וגם של השרת, אתה יכול לשלוח הודעות דחיפה כלליות או ממוקדות למשתמשים שלך תוך דקות. רוב אפליקציות האנדרואיד שמספקות הודעות דחיפה משתמשות ככל הנראה ב-Firebase Cloud Messaging (או ב-Google Cloud Messaging מדור קודם) כדי לעשות זאת. זה כולל אפליקציות ממפתחי חובבים בודדים ועד אפליקציות מתאגידי ענק כמו מיקרוסופט וכמובן גוגל.
הניצול
וכאן הניצול הזה נכנס לתמונה. אם אתה משתמש באפליקציות כמו צוותי מיקרוסופט אוֹ Google Hangouts, ייתכן שהבחנת לאחרונה בהודעות אקראיות שמגיעות, כמו אלה בצילום המסך הבא. אלה הם מאנשים המנצלים תצורות לא מתאימות של Firebase Cloud Messaging.
אני לא אכנס כאן יותר מדי לפרטים, אבל הנושא הזה הוא לא ממש באשמת גוגל. כדי לשלוח הודעות דחיפה בצורה מאובטחת, גוגל דורשת שהשרת ששולח אותן למעשה ישלח גם מפתח כדי לאמת שהן מקוריות. מפתח זה אמור להיות רק במסוף Firebase שלך ובשרת שלך.
אבל לאפליקציות המושפעות, מכל סיבה שהיא, יש גם את המפתח מובנה. זה לא בשימוש, אבל זה שם, בטקסט פשוט, לכל אחד לראות ולהשתמש. באופן קצת אירוני, נראה ש-Google Hangouts ו-Google Play Music פגיעות לניצול זה, כמו גם צוותי Microsoft. אז זו סוג של אשמת גוגל, אבל גם לא ממש.
וזה יכול לשמש למטרות די מרושעות. למרות שנראה שרוב ה"יישומים" של הפגיעות הזו שימשו רק כדי לשלוח טקסט מוזר לאנשים, זה אפשרי לתוקף לבצע תרמית דיוג. הטקסט של ההודעה יכול להיות משהו כמו, "פג תוקף ההפעלה שלך. אנא הקש כאן כדי להיכנס שוב," עם כתובת אתר שתופעל כאשר אתה מקיש עליה. כתובת ה-URL הזו עשויה להיות בסופו של דבר אתר המעוצב כך שייראה כמו, למשל, דף הכניסה של מיקרוסופט. אבל במקום להיכנס ל-Microsoft, אתה נותן למישהו את הכניסה שלך.
מה על המשתמשים לעשות?
שום דבר. אין הרבה שאתה, כמשתמש, יכול לעשות כדי לעצור את ההתראות האלה. אתה יכול לחסום את הערוצים שהם נכנסים אליהם (או לחסום הודעות מהאפליקציה לגמרי), אבל אתה לא יכול לסנן את ההודעות הבלתי לגיטימיות, מכיוון שככל ש-Firebase יודע, הם הם לֵגִיטִימִי.
אבל מה שאתה יכול לעשות זה להיות זהיר. אם אתה מקבל התראה שנראה שהיא מבקשת את פרטי ההתחברות שלך - או כל מידע אישי אחר לצורך העניין - אל תקיש עליה. במקום זאת, פתח את האפליקציה ישירות. אם ההודעה הייתה אמיתית, האפליקציה תציין זאת. אחרת, סביר להניח שזה היה ניסיון דיוג. אם תקיש על התראה, סגור מיד כל אתר שנפתח.
ולבסוף, אם כבר הכנסת את הסיסמה שלך איפשהו דרך הודעה, שנה אותה מיד, בטל את ההרשאה של כל המכשירים המחוברים (אם רלוונטי), ואפשר אימות דו-שלבי אם לא עשית זאת כְּבָר.
מה מפתחים צריכים לעשות?
אם יישמת את Firebase Cloud Messaging באפליקציות שלך, בדוק את קובצי התצורה כדי לוודא שמפתחות השרת שלך לא נמצאים שם. אם כן, בטל אותם מיד, צור חדשים והגדר מחדש את השרת שלך.
שוב, זה לא מאמר טכני במיוחד, אז תרצה לבקר בקישורים שלהלן לקבלת מידע נוסף על הקלה.
תגובות גוגל ומיקרוסופט
כך אמר דובר גוגל The Daily Swig שהנושא היה "קשור ספציפית למפתחים הכוללים מפתחות API בקוד שלהם לשירותים שלא צריכים להיכלל, שאותו ניתן לאחר מכן לנצל", במקום ששירות Firebase Cloud Messaging עצמו יהיה נפגע. "במקרים שבהם גוגל מצליחה לזהות שמשתמשים במפתח שרת, אנו מנסים להתריע בפני המפתחים כדי שיוכלו לתקן את האפליקציה שלהם", הוסיף הדובר.
מיקרוסופט פרסמה את ההצהרה הבאה בטוויטר:
לקריאה נוספת
הנה כמה מאמרים שמפרטים הרבה יותר על מה זה ניצול זה, איך הוא עובד ואיך אתה יכול לוודא שאתה לא פגיע. אם אתה מפתח אפליקציות, או שאתה רק מעוניין לבדוק איך זה עובד, תסתכל.
- השתלטות על שירות הודעות הענן של Firebase: מחקר קטן שהוביל ל-30k$+ בפרסים
- פגיעות הודעות Google Firebase אפשרה לתוקפים לשלוח הודעות דחיפה למשתמשי האפליקציה