최근 공개된 Firebase 클라우드 메시징의 취약점으로 인해 Microsoft Teams 및 행아웃과 같은 앱에서 이상한 알림이 표시되었습니다.
일부 소프트웨어나 서비스 어딘가에 또 다른 심각한 보안 결함이 나타나지 않고서는 하루도 버틸 수 없는 것 같습니다. 이번 주는 Firebase 클라우드 메시징이 쉽게 악용될 수 있는 취약점에 직면할 때인 것 같습니다.
Firebase 클라우드 메시징 거의 모든 플랫폼에서 앱을 통해 알림을 더 쉽게 전달할 수 있도록 지원하는 Google의 프레임워크입니다. 앱과 서버를 모두 간단하게 구성하면 몇 분 안에 일반 또는 대상 푸시 알림을 사용자에게 보낼 수 있습니다. 푸시 알림을 제공하는 대부분의 Android 앱은 이를 위해 Firebase 클라우드 메시징(또는 레거시 Google 클라우드 메시징)을 사용할 가능성이 높습니다. 여기에는 단일 취미 개발자의 앱부터 Microsoft 및 물론 Google과 같은 거대 기업의 앱까지 포함됩니다.
익스플로잇
이것이 바로 이 공격이 들어오는 곳입니다. 다음과 같은 앱을 사용한다면 마이크로소프트 팀즈 또는 구글 행아웃, 최근에 다음 스크린샷과 같은 무작위 알림이 들어오는 것을 보셨을 것입니다. 이는 Firebase 클라우드 메시징의 부적절한 구성을 이용하는 사람들로부터 나온 것입니다.
여기서는 너무 자세히 설명하지는 않겠지만 이 문제는 실제로 Google의 잘못이 아닙니다. 푸시 알림을 안전하게 보내기 위해 Google에서는 실제로 알림을 보내는 서버에서도 해당 알림이 진짜인지 확인하는 키를 보내도록 요구합니다. 이 키는 Firebase 콘솔과 서버에만 있어야 합니다.
그러나 어떤 이유로든 영향을 받는 앱에는 키가 내장되어 있습니다. 사용되지는 않지만 누구나 보고 사용할 수 있도록 일반 텍스트로 존재합니다. 다소 아이러니하게도 Google Hangouts와 Google Play Music은 물론 Microsoft Teams도 이 공격에 취약한 것으로 보입니다. 따라서 이는 일종의 Google의 잘못이지만 실제로는 그렇지 않습니다.
그리고 꽤 사악한 목적으로 사용될 수도 있습니다. 이 취약점의 대부분 "구현"은 사람들에게 이상한 문자를 보내는 데에만 사용된 것으로 보이지만 공격자가 피싱 사기를 실행하는 것도 가능합니다. 알림 텍스트는 "세션이 만료되었습니다. 다시 로그인하려면 여기를 탭하세요'라는 메시지와 함께 탭하면 실행되는 URL이 포함되어 있습니다. 해당 URL은 Microsoft의 로그인 페이지와 같은 스타일의 사이트가 될 수 있습니다. 하지만 Microsoft에 로그인하는 대신 다른 사람에게 로그인 정보를 제공하게 됩니다.
사용자는 무엇을 해야 합니까?
아무것도 아님. 사용자로서 이러한 알림을 중지하기 위해 할 수 있는 일은 많지 않습니다. 해당 알림이 들어오는 채널을 차단하거나 앱의 알림을 모두 차단할 수 있지만 불법 알림을 필터링할 수는 없습니다. 왜냐하면 Firebase가 알고 있는 한, 불법 알림은 ~이다 정당한.
하지만 당신이 할 수 있는 일은 조심하는 것입니다. 로그인 세부 정보나 기타 개인 정보를 묻는 알림을 받은 경우 탭하지 마세요. 대신 앱을 직접 여세요. 알림이 실제라면 앱에서 이를 표시합니다. 그렇지 않으면 피싱 시도일 가능성이 높습니다. 알림을 탭한 경우 열려 있는 웹사이트를 즉시 닫으세요.
그리고 마지막으로 알림을 통해 이미 비밀번호를 어딘가에 입력해 두셨다면 바로 변경해 주시고, 로그인된 모든 장치의 승인을 취소하고(해당되는 경우), 그렇지 않은 경우 2단계 인증을 활성화합니다. 이미.
개발자는 무엇을 해야 합니까?
앱에 Firebase 클라우드 메시징을 구현한 경우 구성 파일을 확인하여 서버 키가 없는지 확인하세요. 그렇다면 즉시 무효화하고 새 항목을 생성한 후 서버를 재구성하십시오.
다시 한 번 말씀드리지만, 이는 매우 기술적인 기사가 아니므로 완화에 대한 자세한 내용을 보려면 아래 링크를 방문하시기 바랍니다.
Google과 Microsoft의 응답
구글 대변인은 이렇게 말했다. 매일의 스위그 이 문제는 "특히 서비스에 대한 코드에 API 키를 포함하는 개발자와 관련이 있습니다. Firebase 클라우드 메시징 서비스 자체가 타협. 대변인은 “구글이 서버 키가 사용된 것을 식별할 수 있는 경우 개발자에게 알리고 앱을 수정할 수 있도록 노력한다”고 덧붙였다.
Microsoft는 Twitter에서 다음과 같은 성명을 발표했습니다.
추가 자료
다음은 이 익스플로잇이 무엇인지, 어떻게 작동하는지, 그리고 취약하지 않은지 확인하는 방법에 대해 자세히 설명하는 몇 가지 기사입니다. 앱 개발자이거나 이것이 어떻게 작동하는지 확인하고 싶은 경우 한 번 살펴보세요.
- Firebase 클라우드 메시징 서비스 인수: 현상금 30,000달러 이상으로 이어진 소규모 연구
- Google Firebase 메시징 취약점으로 인해 공격자가 앱 사용자에게 푸시 알림을 보낼 수 있었습니다.