Neseniai atskleistas Firebase Cloud Messaging pažeidžiamumas lėmė keistus pranešimus iš tokių programų kaip „Microsoft Teams“ ir „Hangout“.
Atrodo, negalime nė dienos, kai kažkurioje programinėje įrangoje ar paslaugoje neatsirastų dar vienas reikšmingas saugos trūkumas. Atrodo, kad šią savaitę „Firebase Cloud Messaging“ gali susidurti su lengvai išnaudojamu pažeidžiamumu.
„Firebase“ pranešimų siuntimas iš debesies yra „Google“ sistema, padedanti lengviau pristatyti pranešimus per programas beveik bet kurioje platformoje. Naudodami tam tikrą paprastą programos ir serverio konfigūraciją, per kelias minutes galite išsiųsti bendruosius arba tikslinius tiesioginius pranešimus savo vartotojams. Dauguma „Android“ programų, teikiančių tiesioginius pranešimus, greičiausiai naudoja „Firebase Cloud Messaging“ (arba seną „Google Cloud Messaging“). Tai apima programas nuo pavienių mėgėjų kūrėjų iki programų iš milžiniškų korporacijų, tokių kaip „Microsoft“ ir, žinoma, „Google“.
Išnaudojimas
Ir čia atsiranda šis išnaudojimas. Jei naudojate tokias programas kaip
Microsoft komandos arba Google Hangout, galbūt neseniai pastebėjote, kad ateina atsitiktiniai pranešimai, kaip ir toliau pateiktoje ekrano kopijoje. Tai yra žmonių, besinaudojančių netinkama „Firebase“ pranešimų siuntimo debesimi konfigūracija.Čia nesileisiu per daug detalių, bet ši problema tikrai nėra „Google“ kaltė. Siekdama saugiai siųsti tiesioginius pranešimus, „Google“ reikalauja, kad juos siunčiantis serveris taip pat atsiųstų raktą, patvirtinantį, kad jie yra autentiški. Šis raktas turėtų būti tik jūsų „Firebase“ pulte ir serveryje.
Tačiau paveiktose programose dėl kokių nors priežasčių taip pat yra įtaisytas raktas. Jis nenaudojamas, bet yra ten, paprastu tekstu, kad visi galėtų pamatyti ir naudoti. Šiek tiek ironiška, kad „Google Hangouts“ ir „Google Play“ muzika, taip pat „Microsoft Teams“ yra pažeidžiami dėl šio išnaudojimo. Taigi tai savotiškai „Google“ kaltė, bet taip pat ne iš tikrųjų.
Ir jis gali būti naudojamas gana nesąžiningiems tikslams. Nors atrodo, kad dauguma šio pažeidžiamumo „įdiegimų“ buvo naudojami tik keistam tekstui žmonėms siųsti, užpuolikas gali įvykdyti sukčiavimo sukčiavimą. Pranešimo tekstas gali būti panašus į „Jūsų sesija baigėsi. Palieskite čia, kad vėl prisijungtumėte“ su URL, kuris paleidžiamas jį palietus. Šis URL gali būti svetainė, sukurta taip, kad atrodytų, pavyzdžiui, „Microsoft“ prisijungimo puslapis. Tačiau užuot prisijungę prie „Microsoft“, suteikiate kam nors savo prisijungimo vardą.
Ką turėtų daryti vartotojai?
Nieko. Jūs, kaip vartotojas, negalite daug padaryti, kad sustabdytumėte šiuos pranešimus. Galite blokuoti kanalus, į kuriuos jie patenka (arba visiškai blokuoti pranešimus iš programos), bet negalite išfiltruoti neteisėtų pranešimų, nes, kiek žino Firebase, jie yra teisėtas.
Tačiau ką galite padaryti, būkite atsargūs. Jei gaunate pranešimą, kuriame, atrodo, prašoma jūsų prisijungimo duomenų arba bet kokios kitos asmeninės informacijos, jo nelieskite. Vietoj to atidarykite programą tiesiogiai. Jei pranešimas buvo tikras, programa tai nurodys. Kitu atveju greičiausiai tai buvo sukčiavimo bandymas. Jei bakstelėsite pranešimą, nedelsdami uždarykite bet kurią atsidariusią svetainę.
Ir galiausiai, jei jau kažkur įvedėte slaptažodį per pranešimą, nedelsdami jį pakeiskite, panaikinti visų prisijungusių įrenginių autorizaciją (jei taikoma) ir įgalinti dviejų veiksnių autentifikavimą, jei to nepadarėte jau.
Ką turėtų daryti kūrėjai?
Jei programose įdiegėte „Firebase Cloud Messaging“, patikrinkite konfigūracijos failus ir įsitikinkite, kad ten nėra serverio raktų. Jei taip, nedelsdami panaikinkite juos, sukurkite naujus ir iš naujo sukonfigūruokite serverį.
Vėlgi, tai nėra labai techninis straipsnis, todėl norėsite apsilankyti toliau pateiktose nuorodose, kad gautumėte daugiau informacijos apie švelninimą.
„Google“ ir „Microsoft“ atsakymai
„Google“ atstovas sakė „Daily Swig“. kad problema buvo „konkrečiai susijusi su kūrėjais, įtraukusiais į savo paslaugų kodą API raktus, kurių neturėtų būti būti įtraukta, kurią būtų galima išnaudoti“, o ne pati Firebase Cloud Messaging paslauga susikompromitavo. „Tais atvejais, kai „Google“ gali nustatyti, kad naudojamas serverio raktas, bandome įspėti kūrėjus, kad jie galėtų pataisyti savo programą“, – pridūrė atstovas.
„Microsoft“ paskelbė šį pareiškimą „Twitter“:
Papildoma literatūra
Štai keli straipsniai, kuriuose išsamiau aprašoma, kas yra šis išnaudojimas, kaip jis veikia ir kaip galite įsitikinti, kad nesate pažeidžiami. Jei esate programų kūrėjas arba tiesiog norite sužinoti, kaip tai veikia, pažiūrėkite.
- „Firebase“ pranešimų siuntimo iš debesies paslaugos perėmimas: nedidelis tyrimas, kurio metu buvo gauta daugiau nei 30 tūkst.
- „Google Firebase“ pranešimų siuntimo pažeidžiamumas leido užpuolikams siųsti tiesioginius pranešimus programos naudotojams