FCM-ის ექსპლუატაცია Microsoft Teams-ის, Hangouts-ის უცნაური შეტყობინებების უკან

MiscellaneaNov 11, 2023

Firebase Cloud Messaging-ში ახლახან გამოვლენილმა დაუცველობამ გამოიწვია უცნაური შეტყობინებები აპებიდან, როგორიცაა Microsoft Teams და Hangouts.

როგორც ჩანს, ჩვენ არ შეგვიძლია გავატაროთ დღე ისე, რომ უსაფრთხოების კიდევ ერთი მნიშვნელოვანი ხარვეზი არ აღმოჩნდეს რაიმე პროგრამულ უზრუნველყოფაში ან სერვისში. როგორც ჩანს, ამ კვირაში Firebase Cloud Messaging-ის დროა ადვილად ექსპლუატირებადი დაუცველობის წინააღმდეგ.

Firebase Cloud Messaging არის Google-ის ჩარჩო, რომელიც დაგეხმარებათ გაადვილოთ შეტყობინებების მიწოდება აპების მეშვეობით თითქმის ნებისმიერ პლატფორმაზე. როგორც თქვენი აპლიკაციის, ასევე სერვერის მარტივი კონფიგურაციით, შეგიძლიათ რამდენიმე წუთში გაუგზავნოთ ზოგადი ან მიზანმიმართული push შეტყობინებები თქვენს მომხმარებლებს. Android აპლიკაციების უმეტესობა, რომლებიც აწვდიან push-შეტყობინებებს, სავარაუდოდ, ამისათვის იყენებენ Firebase Cloud Messaging-ს (ან ძველ Google Cloud Messaging-ს). ეს მოიცავს აპებს მარტოხელა ჰობის დეველოპერებიდან, გიგანტური კორპორაციების აპებამდე, როგორიცაა Microsoft და, რა თქმა უნდა, Google.

ექსპლოიტი

და სწორედ აქ მოდის ეს ექსპლოიტი. თუ იყენებთ აპებს, როგორიცაა Microsoft-ის გუნდები ან Google Hangouts, შეიძლება ახლახან შენიშნეთ შემთხვევითი შეტყობინებები, როგორიცაა შემდეგი ეკრანის ანაბეჭდში. ეს არის ადამიანებისგან, რომლებიც სარგებლობენ Firebase Cloud Messaging-ის არასწორი კონფიგურაციით.

სკრინშოტი /u/ToTooThenThan-დან Reddit-ზე.

აქ ზედმეტ დეტალებს არ შევეხები, მაგრამ ეს საკითხი Google-ის ბრალი ნამდვილად არ არის. Push-შეტყობინებების უსაფრთხოდ გასაგზავნად, Google მოითხოვს, რომ სერვერმა, რომელიც რეალურად აგზავნის მათ, ასევე გამოაგზავნოს გასაღები, რომ დაადასტუროს, რომ ისინი ნამდვილია. ეს გასაღები უნდა იყოს მხოლოდ თქვენს Firebase კონსოლში და თქვენს სერვერზე.

მაგრამ დაზარალებულ აპებს, რაიმე მიზეზით, ასევე აქვთ ჩაშენებული გასაღები. ის არ გამოიყენება, მაგრამ არის იქ, უბრალო ტექსტში, რათა ვინმემ ნახოს და გამოიყენოს. გარკვეულწილად ირონიულია, Google Hangouts და Google Play Music, როგორც ჩანს, დაუცველები არიან ამ ექსპლოიტის მიმართ, ისევე როგორც Microsoft Teams. ასე რომ, ეს ერთგვარი Google-ის ბრალია, მაგრამ ასევე არა.

და ის შეიძლება გამოყენებულ იქნას საკმაოდ მავნე მიზნებისთვის. მიუხედავად იმისა, რომ, როგორც ჩანს, ამ დაუცველობის "განხორციელების" უმეტესობა გამოყენებულია მხოლოდ ხალხისთვის უცნაური ტექსტის გასაგზავნად, თავდამსხმელისთვის შესაძლებელია ფიშინგის თაღლითობის განხორციელება. შეტყობინების ტექსტი შეიძლება იყოს მსგავსი: „თქვენი სესია ამოიწურა. გთხოვთ, შეეხეთ აქ ხელახლა შესასვლელად", URL-ით, რომელიც იხსნება მასზე შეხებისას. ეს URL შეიძლება დასრულდეს იყოს საიტი, რომელიც შექმნილია, მაგალითად, Microsoft-ის შესვლის გვერდის მსგავსი. მაგრამ Microsoft-ში შესვლის ნაცვლად, თქვენ აძლევთ ვინმეს თქვენს შესვლას.

რა უნდა გააკეთონ მომხმარებლებმა?

არაფერი. თქვენ, როგორც მომხმარებელს, ბევრი რამ არ შეგიძლიათ გააკეთოთ ამ შეტყობინებების შესაჩერებლად. თქვენ შეგიძლიათ დაბლოკოთ არხები, რომლებზეც ისინი შემოდიან (ან საერთოდ დაბლოკოთ შეტყობინებები აპიდან), მაგრამ თქვენ არ შეგიძლიათ გაფილტროთ არალეგიტიმური შეტყობინებები, რადგან, რამდენადაც Firebase-მა იცის, ისინი არიან ლეგიტიმური.

რისი გაკეთებაც შეგიძლიათ, ფრთხილად იყავით. თუ თქვენ მიიღებთ შეტყობინებას, რომელიც, როგორც ჩანს, ითხოვს თქვენი შესვლის დეტალებს — ან სხვა პერსონალურ ინფორმაციას ამ საკითხთან დაკავშირებით — არ შეეხოთ მას. ამის ნაცვლად, გახსენით აპლიკაცია პირდაპირ. თუ შეტყობინება რეალური იყო, აპლიკაცია მიუთითებს ამას. წინააღმდეგ შემთხვევაში, ეს სავარაუდოდ ფიშინგის მცდელობა იყო. თუ შეეხეთ შეტყობინებას, დაუყოვნებლივ დახურეთ ნებისმიერი ვებსაიტი, რომელიც იხსნება.

და ბოლოს, თუ უკვე შეიტანეთ თქვენი პაროლი სადმე შეტყობინების საშუალებით, მაშინვე შეცვალეთ იგი, გააუქმეთ ავტორიზაცია ყველა სისტემაში შესული მოწყობილობის (ასეთის არსებობის შემთხვევაში) და ჩართეთ ორფაქტორიანი ავთენტიფიკაცია, თუ არ გაქვთ უკვე.

რა უნდა გააკეთონ დეველოპერებმა?

თუ თქვენ დანერგეთ Firebase Cloud Messaging თქვენს აპებში, შეამოწმეთ კონფიგურაციის ფაილები, რათა დარწმუნდეთ, რომ თქვენი სერვერის გასაღებები იქ არ არის. თუ ისინი ასეა, დაუყოვნებლივ გააუქმეთ ისინი, შექმენით ახალი და გადააკეთეთ თქვენი სერვერის კონფიგურაცია.

კიდევ ერთხელ, ეს არ არის ძალიან ტექნიკური სტატია, ასე რომ თქვენ მოგინდებათ ეწვიოთ ქვემოთ მოცემულ ბმულებს დამატებითი ინფორმაციისთვის შერბილების შესახებ.

Google-ისა და Microsoft-ის პასუხები

განუცხადა Google-ის წარმომადგენელმა The Daily Swig რომ საკითხი „კონკრეტულად იყო დაკავშირებული დეველოპერებთან, მათ კოდში API კლავიშების ჩათვლით სერვისებისთვის, რომლებიც არ უნდა იყოს უნდა იყოს ჩართული, რომელიც შემდგომ შეიძლება იყოს ექსპლუატირებული“, ვიდრე თავად Firebase Cloud Messaging სერვისი იყოს კომპრომეტირებული. „იმ შემთხვევებში, როდესაც Google-ს შეუძლია დაადგინოს, რომ სერვერის გასაღები გამოიყენება, ჩვენ ვცდილობთ გავაფრთხილოთ დეველოპერები, რათა მათ შეძლონ მათი აპლიკაციის გამოსწორება“, - დასძინა სპიკერმა.

Microsoft-მა Twitter-ზე შემდეგი განცხადება გაავრცელა:

შემდგომი კითხვა

აქ მოცემულია რამდენიმე სტატია, რომელიც უფრო დეტალურად აღწერს, თუ რა არის ეს ექსპლოიტი, როგორ მუშაობს ის და როგორ შეგიძლიათ დარწმუნდეთ, რომ არ ხართ დაუცველი. თუ თქვენ ხართ აპლიკაციის დეველოპერი, ან უბრალოდ გაინტერესებთ, როგორ მუშაობს ეს, გადახედეთ.

  • Firebase Cloud Messaging Service Takeover: მცირე კვლევა, რამაც გამოიწვია 30k$+ ბონუსები
  • Google Firebase შეტყობინებების დაუცველობამ თავდამსხმელებს საშუალება მისცა გაეგზავნათ push-შეტყობინებები აპის მომხმარებლებისთვის