Microsoft Teams、ハングアウトからの奇妙な通知の背後にある FCM エクスプロイト

その他Nov 11, 2023
click fraud protection

最近明らかになった Firebase Cloud Messaging の脆弱性により、Microsoft Teams や Hangouts などのアプリから奇妙な通知が送信されるようになりました。

何らかのソフトウェアまたはサービスのどこかで別の重大なセキュリティ上の欠陥が発生しない日はないようです。 今週は、Firebase Cloud Messaging が簡単に悪用可能な脆弱性に遭遇する時期のようです。

Firebase クラウド メッセージング は、ほぼすべてのプラットフォーム上のアプリを介した通知の配信を容易にする Google のフレームワークです。 アプリとサーバーの両方を簡単に構成するだけで、一般的なプッシュ通知またはターゲットを絞ったプッシュ通知を数分以内にユーザーに送信できます。 プッシュ通知を配信するほとんどの Android アプリは、Firebase Cloud Messaging (または従来の Google Cloud Messaging) を使用して通知を行う可能性があります。 これには、個人の趣味開発者によるアプリから、Microsoft やもちろん Google などの巨大企業のアプリまで含まれます。

悪用

そこでこのエクスプロイトが登場します。 のようなアプリを使用すると、 マイクロソフトチーム または Google ハングアウト最近、次のスクリーンショットのようなランダムな通知が届いていることに気付いたかもしれません。 これらは、Firebase Cloud Messaging の不適切な構成を利用した人々によるものです。

Reddit の /u/ToTooThenThan からのスクリーンショット。

ここでは詳しくは述べませんが、この問題は実際には Google のせいではありません。 プッシュ通知を安全に送信するために、Google では、プッシュ通知を実際に送信しているサーバーにも、プッシュ通知が本物であることを検証するためのキーを送信することを要求しています。 このキーは Firebase コンソールとサーバー上にのみ存在する必要があります。

しかし、何らかの理由で、影響を受けるアプリにもキーが組み込まれています。 使用されていませんが、平文で誰でも表示および使用できるように存在します。 やや皮肉なことに、Microsoft Teams と同様に、Google Hangouts と Google Play Music もこのエクスプロイトに対して脆弱であるようです。 つまり、これはある意味 Google のせいですが、実際にはそうではありません。

そしてそれはかなり悪質な目的に使用される可能性があります。 この脆弱性のほとんどの「実装」は、人々に奇妙なテキストを送信するためにのみ使用されているようですが、攻撃者がフィッシング詐欺を実行する可能性があります。 通知のテキストは、「セッションの有効期限が切れました。 もう一度サインインするには、ここをタップしてください。」というメッセージが表示され、タップすると URL が起動します。 その URL は、たとえば Microsoft のログイン ページのようなスタイルのサイトになる可能性があります。 ただし、Microsoft にログインする代わりに、自分のログイン情報を誰かに与えることになります。

ユーザーは何をすべきでしょうか?

何もない。 ユーザーがこれらの通知を停止するためにできることはあまりありません。 受信するチャネルをブロックする(またはアプリからの通知を完全にブロックする)ことはできますが、Firebase が把握している限り、不正な通知を除外することはできません。  正当な。

ただし、できることは注意することです。 ログイン情報やその他の個人情報を要求するような通知を受け取った場合は、タップしないでください。 代わりに、アプリを直接開きます。 通知が本物だった場合、アプリはそのことを示します。 それ以外の場合は、フィッシングの試みである可能性があります。 通知をタップした場合は、開いた Web サイトをすぐに閉じてください。

最後に、通知を通じてパスワードをすでにどこかに入力している場合は、すぐに変更してください。 ログインしているすべてのデバイスの認証を解除し (該当する場合)、2 要素認証を有効にしていない場合は有効にします。 すでに。

開発者は何をすべきでしょうか?

Firebase Cloud Messaging をアプリに実装している場合は、構成ファイルをチェックして、サーバー キーがそこに含まれていないことを確認してください。 存在する場合は、直ちにそれらを無効にし、新しいものを作成し、サーバーを再構成してください。

繰り返しになりますが、これはあまり技術的な記事ではないため、緩和策の詳細については、以下のリンクにアクセスしてください。

GoogleとMicrosoftの対応

Googleの広報担当者はこう語った。 デイリー・スウィッグ この問題は「特に、開発者がサービスのコードに API キーを含めることに関連していた」と述べています。 Firebase Cloud Messaging サービス自体が含まれるのではなく、悪用される可能性があります。 妥協した。 「サーバーキーが使用されていることをGoogleが特定できた場合、開発者がアプリを修正できるよう警告を試みます」と広報担当者は付け加えた。

MicrosoftはTwitterで次の声明を発表した。

参考文献

このエクスプロイトとは何なのか、どのように機能するのか、そして脆弱でないことを確認する方法について詳しく説明した記事がいくつかあります。 あなたがアプリ開発者である場合、またはこれがどのように機能するかを確認することに興味がある場合は、ぜひご覧ください。

  • Firebase クラウド メッセージング サービスの乗っ取り: 30,000 ドル以上の報奨金につながった小規模な調査
  • Google Firebase メッセージングの脆弱性により、攻撃者はアプリ ユーザーにプッシュ通知を送信できます