Nedavno razkrita ranljivost v storitvi Firebase Cloud Messaging je povzročila čudna obvestila iz aplikacij, kot sta Microsoft Teams in Hangouts.
Zdi se, da ne moremo preživeti dneva, ne da bi se nekje v programski opremi ali storitvi pojavila še ena pomembna varnostna napaka. Zdi se, da je ta teden čas, da se Firebase Cloud Messaging sooči z ranljivostjo, ki jo je enostavno izkoristiti.
Firebase Cloud Messaging je Googlov okvir za lažje pošiljanje obvestil prek aplikacij na skoraj vseh platformah. Z nekaj preproste konfiguracije vaše aplikacije in strežnika lahko uporabnikom v nekaj minutah pošljete splošna ali ciljana potisna obvestila. Večina aplikacij za Android, ki pošiljajo potisna obvestila, za to verjetno uporablja Firebase Cloud Messaging (ali podedovano Google Cloud Messaging). To vključuje aplikacije posameznih razvijalcev hobijev do aplikacij velikanskih korporacij, kot sta Microsoft in seveda Google.
Izkoriščanje
In tu nastopi ta podvig. Če uporabljate aplikacije, kot je Microsoft Teams
oz Google Hangouts, ste morda pred kratkim opazili, da prihajajo naključna obvestila, kot so tista na naslednjem posnetku zaslona. To so od ljudi, ki izkoriščajo nepravilne konfiguracije Firebase Cloud Messaging.Tu se ne bom spuščal v preveč podrobnosti, vendar za to težavo v resnici ni kriv Google. Za varno pošiljanje potisnih obvestil Google zahteva, da strežnik, ki jih dejansko pošilja, pošlje tudi ključ za potrditev, da so pristna. Ta ključ bi moral biti samo v vaši konzoli Firebase in na vašem strežniku.
Toda prizadete aplikacije imajo iz kakršnega koli razloga vgrajen tudi ključ. Ni uporabljen, vendar je tam, v navadnem besedilu, da ga lahko kdo vidi in uporablja. Nekoliko ironično se zdi, da sta Google Hangouts in Google Play Music ranljiva za to izkoriščanje, pa tudi Microsoft Teams. Nekako je torej kriv Google, a prav tako ne.
In lahko se uporablja za precej nečedne namene. Čeprav se zdi, da je bila večina "izvedb" te ranljivosti uporabljena le za pošiljanje čudnega besedila ljudem, je možno, da napadalec izvede prevaro z lažnim predstavljanjem. Besedilo obvestila je lahko nekaj takega: »Vaša seja je potekla. Dotaknite se tukaj, da se znova prijavite," z URL-jem, ki se odpre, ko se ga dotaknete. Ta URL bi lahko na koncu postal spletno mesto, oblikovano tako, da je videti kot, na primer, Microsoftova prijavna stran. Toda namesto da bi se prijavili v Microsoft, nekomu daste svojo prijavo.
Kaj naj storijo uporabniki?
nič. Vi kot uporabnik ne morete storiti veliko, da bi zaustavili ta obvestila. Lahko blokirate kanale, na katere prihajajo (ali popolnoma blokirate obvestila iz aplikacije), ne morete pa filtrirati nelegitimnih obvestil, saj, kolikor ve Firebase, so legitimno.
Kar pa lahko storite, je, da ste previdni. Če prejmete obvestilo, ki zahteva vaše podatke za prijavo ali druge osebne podatke, se ga ne dotikajte. Namesto tega neposredno odprite aplikacijo. Če je bilo obvestilo resnično, bo aplikacija to označila. V nasprotnem primeru je verjetno šlo za poskus lažnega predstavljanja. Če se dotaknete obvestila, takoj zaprite vsako spletno mesto, ki se odpre.
In končno, če ste že vnesli svoje geslo v obvestilo, ga takoj spremenite, razveljavite avtorizacijo vseh prijavljenih naprav (če je na voljo) in omogočite dvostopenjsko avtentikacijo, če tega niste storili že.
Kaj naj storijo razvijalci?
Če ste v svoje aplikacije implementirali Firebase Cloud Messaging, preverite konfiguracijske datoteke in se prepričajte, da ključi vašega strežnika niso tam. Če so, jih takoj razveljavite, ustvarite nove in znova konfigurirajte strežnik.
Še enkrat, to ni zelo tehničen članek, zato boste želeli obiskati spodnje povezave za več informacij o ublažitvi.
Odzivi Googla in Microsofta
Tiskovni predstavnik Googla je povedal Dnevni požirek da je bila težava »posebej povezana z razvijalci, ki v svojo kodo vključujejo ključe API za storitve, ki ne bi smele vključiti, kar bi lahko nato izkoristili,« namesto same storitve Firebase Cloud Messaging ogrožena. "V primerih, ko lahko Google ugotovi, da je uporabljen ključ strežnika, poskušamo opozoriti razvijalce, da lahko popravijo svojo aplikacijo," je dodal tiskovni predstavnik.
Microsoft je na Twitterju izdal naslednjo izjavo:
Nadaljnje branje
Tukaj je nekaj člankov, ki veliko bolj podrobno opisujejo, kaj je to izkoriščanje, kako deluje in kako se lahko prepričate, da niste ranljivi. Če ste razvijalec aplikacij ali vas samo zanima, kako to deluje, si oglejte.
- Prevzem storitve Firebase Cloud Messaging: majhna raziskava, ki je privedla do 30.000 $+ nagrad
- Ranljivost sporočil Google Firebase je napadalcem omogočila pošiljanje potisnih obvestil uporabnikom aplikacije