Nesen atklātā Firebase mākoņa ziņojumapmaiņas ievainojamība ir izraisījusi dīvainus paziņojumus no tādām lietotnēm kā Microsoft Teams un Hangouts.
Šķiet, ka mēs nevaram iztikt bez vēl viena nozīmīga drošības nepilnība kaut kur kādā programmatūrā vai pakalpojumā. Šķiet, ka šī nedēļa ir pienācis laiks Firebase mākoņa ziņojumapmaiņai saskarties ar viegli izmantojamu ievainojamību.
Firebase mākoņa ziņojumapmaiņa ir Google sistēma, kas atvieglo paziņojumu piegādi, izmantojot lietotnes gandrīz jebkurā platformā. Izmantojot dažas vienkāršas lietotnes un servera konfigurācijas, dažu minūšu laikā varat nosūtīt lietotājiem vispārīgus vai mērķtiecīgus push paziņojumus. Lielākā daļa Android lietotņu, kas nodrošina pašpiegādes paziņojumus, visticamāk, izmanto Firebase Cloud Messaging (vai mantoto Google mākoņa ziņojumapmaiņu). Tas ietver lietotnes no atsevišķiem hobiju izstrādātājiem līdz lietotnēm no tādām milzīgām korporācijām kā Microsoft un, protams, Google.
The Exploit
Un šeit parādās šī ekspluatācija. Ja izmantojat tādas lietotnes kā
Microsoft Teams vai Google Hangouts, iespējams, nesen pamanījāt, ka tiek saņemti nejauši paziņojumi, piemēram, tie, kas parādīti nākamajā ekrānuzņēmumā. Tie ir no cilvēkiem, kuri izmanto nepareizas Firebase mākoņa ziņojumapmaiņas konfigurācijas.Es šeit neiedziļināšos pārāk detalizēti, taču šī problēma nav īsti Google vaina. Lai droši nosūtītu pašpiegādes paziņojumus, Google pieprasa, lai serveris, kas tos faktiski sūta, arī nosūtītu atslēgu, lai apstiprinātu, ka tie ir autentiski. Šai atslēgai ir jābūt tikai jūsu Firebase konsolē un serverī.
Taču ietekmētajās lietotnēs jebkura iemesla dēļ ir iebūvēta arī atslēga. Tas netiek izmantots, bet ir pieejams vienkāršajā tekstā, lai ikviens to varētu redzēt un izmantot. Nedaudz ironiski šķiet, ka Google Hangouts un Google Play mūzika, kā arī Microsoft Teams ir neaizsargāti pret šo izmantošanu. Tātad tā ir sava veida Google vaina, bet arī ne īsti.
Un to var izmantot diezgan zemiskiem mērķiem. Lai gan šķiet, ka lielākā daļa šīs ievainojamības "ieviesumu" ir izmantotas tikai dīvaina teksta sūtīšanai cilvēkiem, uzbrucējs var veikt pikšķerēšanas krāpniecību. Paziņojuma teksts varētu būt apmēram šāds: “Jūsu sesija ir beidzies. Lūdzu, pieskarieties šeit, lai pierakstītos vēlreiz. Šis URL varētu būt vietne, kas veidota tā, lai tā izskatītos, piemēram, Microsoft pieteikšanās lapa. Taču tā vietā, lai pieteiktos Microsoft, jūs kādam piešķirat savu pieteikumvārdu.
Kas lietotājiem jādara?
Nekas. Jūs kā lietotājs nevarat daudz darīt, lai apturētu šos paziņojumus. Varat bloķēt kanālus, kuros tie ienāk (vai pavisam bloķēt paziņojumus no lietotnes), taču nevarat filtrēt nelikumīgos paziņojumus, jo, cik Firebase zina, tie ir likumīgs.
Tomēr jūs varat būt uzmanīgiem. Ja saņemat paziņojumu, kurā, šķiet, tiek prasīta jūsu pieteikšanās informācija vai cita personiska informācija, nepieskarieties tam. Tā vietā atveriet lietotni tieši. Ja paziņojums bija īsts, lietotne to norādīs. Pretējā gadījumā tas, visticamāk, bija pikšķerēšanas mēģinājums. Ja pieskaraties paziņojumam, nekavējoties aizveriet jebkuru atvērto vietni.
Visbeidzot, ja jau esat kaut kur ievadījis savu paroli, izmantojot paziņojumu, nekavējoties nomainiet to, atcelt autorizāciju visām ierīcēm, kurās esat pieteicies (ja piemērojams), un iespējot divu faktoru autentifikāciju, ja neesat to izdarījis jau.
Kas izstrādātājiem jādara?
Ja savās lietotnēs esat ieviesis Firebase mākoņa ziņojumapmaiņu, pārbaudiet konfigurācijas failus, lai pārliecinātos, ka tajos nav jūsu servera atslēgas. Ja tie ir, nekavējoties atspējojiet tos, izveidojiet jaunus un atkārtoti konfigurējiet serveri.
Atkal, šis nav ļoti tehnisks raksts, tāpēc ieteicams apmeklēt tālāk esošās saites, lai iegūtu papildinformāciju par seku mazināšanu.
Google un Microsoft atbildes
Google pārstāvis pastāstīja Dienas malks ka problēma bija “īpaši saistīta ar izstrādātājiem, kuri savā kodā iekļauj API atslēgas pakalpojumiem, kuriem nevajadzētu ir jāiekļauj, ko pēc tam varētu izmantot”, nevis pats Firebase mākoņa ziņojumapmaiņas pakalpojums kompromitēts. "Gadījumos, kad Google spēj noteikt, ka tiek izmantota servera atslēga, mēs cenšamies brīdināt izstrādātājus, lai viņi varētu labot savu lietotni," piebilda pārstāvis.
Microsoft vietnē Twitter izdeva šādu paziņojumu:
Tālāka lasīšana
Šeit ir daži raksti, kuros ir detalizētāk aprakstīts, kas ir šī ļaunprātīga izmantošana, kā tas darbojas un kā jūs varat pārliecināties, ka neesat ievainojams. Ja esat lietotņu izstrādātājs vai vienkārši vēlaties uzzināt, kā tas darbojas, ieskatieties.
- Firebase mākoņa ziņojumapmaiņas pakalpojuma pārņemšana: neliels pētījums, kura rezultātā tika iegūti 30 000 $+
- Google Firebase ziņojumapmaiņas ievainojamība ļāva uzbrucējiem nosūtīt push paziņojumus lietotņu lietotājiem