FCM zneužíva za podivnými upozorneniami z Microsoft Teams, Hangouts

Nedávno odhalená zraniteľnosť v službe Firebase Cloud Messaging viedla k podivným upozorneniam z aplikácií, ako sú Microsoft Teams a Hangouts.

Zdá sa, že nemôžeme prejsť deň bez toho, aby sa niekde v nejakom softvéri alebo službe objavila ďalšia významná bezpečnostná chyba. Zdá sa, že tento týždeň nastal čas, aby Firebase Cloud Messaging narazil na ľahko zneužiteľnú zraniteľnosť.

Firebase Cloud Messaging je rámec od spoločnosti Google, ktorý pomáha zjednodušiť doručovanie upozornení prostredníctvom aplikácií na takmer akejkoľvek platforme. S jednoduchou konfiguráciou vašej aplikácie aj servera môžete svojim používateľom v priebehu niekoľkých minút odosielať všeobecné alebo cielené upozornenia push. Väčšina aplikácií pre Android, ktoré doručujú upozornenia push, na to pravdepodobne používa službu Firebase Cloud Messaging (alebo staršiu verziu služby Google Cloud Messaging). To zahŕňa aplikácie od vývojárov s jedným fanúšikom až po aplikácie od gigantických korporácií, ako je Microsoft a samozrejme Google.

The Exploit

A tu prichádza na rad tento exploit. Ak používate aplikácie ako napr Microsoft Teams alebo Google Hangouts, možno ste si nedávno všimli, že prichádzajú náhodné upozornenia, ako napríklad tie na nasledujúcej snímke obrazovky. Pochádzajú od ľudí, ktorí využívajú nesprávne konfigurácie služby Firebase Cloud Messaging.

Snímka obrazovky z /u/ToTooThenThan na Reddite.

Nebudem sa tu príliš rozpisovať, ale tento problém nie je v skutočnosti vinou spoločnosti Google. Aby bolo možné bezpečne odosielať upozornenia push, spoločnosť Google vyžaduje, aby server, ktorý ich skutočne odosiela, odoslal aj kľúč na overenie ich pravosti. Tento kľúč by mal byť iba vo vašej konzole Firebase a na vašom serveri.

Dotknuté aplikácie však z akéhokoľvek dôvodu majú tiež zabudovaný kľúč. Nepoužíva sa, ale je tam v otvorenom texte, aby si ho mohol pozrieť a použiť ktokoľvek. Trochu ironicky sa zdá, že služby Google Hangouts a Hudba Google Play sú voči tomuto zneužitiu zraniteľné, rovnako ako Microsoft Teams. Takže je to trochu chyba spoločnosti Google, ale tiež nie v skutočnosti.

A dá sa použiť na dosť hanebné účely. Aj keď sa zdá, že väčšina „implementácií“ tejto zraniteľnosti bola použitá iba na odosielanie podivných textov ľuďom, je možné, že útočník spácha phishingový podvod. Text upozornenia môže byť niečo ako: „Vaša relácia vypršala. Klepnutím sem sa znova prihláste,“ s adresou URL, ktorá sa spustí, keď na ňu klepnete. Táto adresa URL by mohla skončiť ako stránka v štýle, povedzme, ako prihlasovacia stránka spoločnosti Microsoft. Ale namiesto prihlásenia do Microsoftu dávate niekomu svoje prihlasovacie údaje.

Čo by mali používatelia robiť?

Nič. Ako používateľ nemôžete urobiť veľa, aby ste zastavili tieto upozornenia. Môžete zablokovať kanály, na ktoré prichádzajú (alebo zablokovať upozornenia z aplikácie úplne), ale nemôžete odfiltrovať nelegitímne upozornenia, pretože pokiaľ Firebase vie, legitímne.

Čo však môžete urobiť, je byť opatrný. Ak dostanete upozornenie, že sa zdá, že požaduje vaše prihlasovacie údaje – alebo akékoľvek iné osobné informácie – neklepajte naň. Namiesto toho otvorte aplikáciu priamo. Ak bolo upozornenie skutočné, aplikácia to oznámi. V opačnom prípade išlo pravdepodobne o pokus o phishing. Ak klepnete na upozornenie, okamžite zatvorte všetky webové stránky, ktoré sa otvoria.

A nakoniec, ak ste už niekde vložili svoje heslo prostredníctvom upozornenia, okamžite ho zmeňte, zrušte autorizáciu všetkých prihlásených zariadení (ak je to možné) a povoľte dvojfaktorové overenie, ak nie už

Čo by mali vývojári robiť?

Ak ste do svojich aplikácií implementovali službu Firebase Cloud Messaging, skontrolujte konfiguračné súbory, aby ste sa uistili, že tam nie sú kľúče servera. Ak sú, okamžite ich zrušte, vytvorte nové a prekonfigurujte svoj server.

Opäť, toto nie je príliš technický článok, takže budete chcieť navštíviť odkazy nižšie, kde nájdete ďalšie informácie o zmiernení.

Odpovede Google a Microsoftu

Povedal to hovorca Google The Daily Swig že problém sa „špecificky týkal vývojárov, ktorí do svojho kódu zahrnuli kľúče API pre služby, ktoré by nemali byť zahrnutá, čo by sa potom dalo využiť,“ a nie samotná služba Firebase Cloud Messaging kompromitovaný. „V prípadoch, keď Google dokáže identifikovať, že sa používa kľúč servera, pokúšame sa upozorniť vývojárov, aby mohli svoju aplikáciu opraviť,“ dodal hovorca.

Microsoft vydal na Twitteri nasledujúce vyhlásenie:

Ďalšie čítanie

Tu je niekoľko článkov, ktoré idú oveľa podrobnejšie o tom, čo tento exploit je, ako funguje a ako sa môžete uistiť, že nie ste zraniteľní. Ak ste vývojár aplikácií alebo vás len zaujíma, ako to funguje, pozrite sa.

  • Prevzatie služby Firebase Cloud Messaging Service: Malý prieskum, ktorý viedol k odmenám vo výške 30 000 $ a viac
  • Chyba zabezpečenia správ Google Firebase umožnila útočníkom odosielať upozornenia push používateľom aplikácie