Недавно откривена рањивост у Фиребасе Цлоуд Мессагинг-у довела је до чудних обавештења од апликација као што су Мицрософт Теамс и Хангоутс.
Чини се да не можемо проћи дан а да се још једна значајна безбедносна грешка не појави негде у неком софтверу или услузи. Чини се да је ове недеље време да Фиребасе Цлоуд Мессагинг налети на рањивост која се лако може искористити.
Фиребасе Цлоуд Мессагинг је Гоогле-ов оквир који олакшава испоруку обавештења путем апликација на скоро свакој платформи. Са неком једноставном конфигурацијом ваше апликације и сервера, можете да шаљете општа или циљана пусх обавештења својим корисницима у року од неколико минута. Већина Андроид апликација које испоручују пусх обавештења вероватно користе Фиребасе Цлоуд Мессагинг (или застарели Гоогле Цлоуд Мессагинг) за то. То укључује апликације од програмера појединачних хобиста до апликација великих корпорација као што су Мицрософт и, наравно, Гоогле.
Тхе Екплоит
И ту долази овај подвиг. Ако користите апликације попут Мицрософт Теамс
Овде нећу улазити превише у детаље, али за ово питање заправо није Гоогле крив. Да би безбедно слао пусх обавештења, Гоогле захтева да сервер који их заправо шаље такође пошаље кључ да потврди да су оригинална. Овај кључ би требало да буде само у вашој Фиребасе конзоли и на вашем серверу.
Али погођене апликације, из било ког разлога, такође имају уграђен кључ. Не користи се, али је ту, у отвореном тексту, да свако може да види и користи. Помало иронично, чини се да су Гоогле Хангоутс и Гоогле Плаи музика рањиви на овај подвиг, као и Мицрософт тимови. Дакле, то је на неки начин Гоогле-ова грешка, али такође није баш.
И може се користити у прилично зле сврхе. Иако се чини да је већина „имплементација“ ове рањивости коришћена само за слање чудних текстова људима, могуће је да нападач изврши превару са „пецањем“. Текст обавештења би могао бити нешто попут: „Ваша сесија је истекла. Додирните овде да бисте се поново пријавили“, са УРЛ-ом који се покреће када га додирнете. Тај УРЛ би на крају могао да буде сајт који је стилизован тако да изгледа као, рецимо, Мицрософт-ова страница за пријаву. Али уместо да се пријавите на Мицрософт, некоме дајете своју пријаву.
Шта корисници треба да ураде?
Ништа. Ви, као корисник, не можете много да урадите да зауставите ова обавештења. Можете да блокирате канале на које долазе (или да блокирате обавештења из апликације у потпуности), али не можете да филтрирате нелегитимна обавештења, јер, колико Фиребасе зна, они су легитиман.
Међутим, оно што можете учинити је бити опрезан. Ако добијете обавештење које изгледа да тражи ваше податке за пријаву – или било које друге личне податке у том случају – немојте га додиривати. Уместо тога, отворите апликацију директно. Ако је обавештење било стварно, апликација ће то указати. У супротном, вероватно је то био покушај крађе идентитета. Ако додирнете обавештење, одмах затворите било коју веб локацију која се отвори.
И на крају, ако сте већ унели своју лозинку негде путем обавештења, одмах је промените, поништите ауторизацију свих пријављених уређаја (ако је применљиво) и омогућите двофакторску аутентификацију ако нисте већ.
Шта програмери треба да ураде?
Ако сте имплементирали Фиребасе Цлоуд Мессагинг у своје апликације, проверите конфигурационе датотеке да бисте били сигурни да кључеви сервера нису тамо. Ако јесу, одмах их поништите, креирајте нове и поново конфигуришите сервер.
Опет, ово није баш технички чланак, па ћете желети да посетите доње везе за више информација о ублажавању.
Гоогле и Мицрософт одговори
Портпарол Гугла је рекао Тхе Даили Свиг да је проблем „посебно везан за програмере који укључују АПИ кључеве у свој код за услуге које не би требало бити укључени, који би онда могли да се експлоатишу“, уместо да буде сама услуга Фиребасе Цлоуд Мессагинг компромитован. „У случајевима када Гоогле може да идентификује да се користи серверски кључ, покушавамо да упозоримо програмере како би могли да поправе своју апликацију“, додао је портпарол.
Мицрософт је на Твитеру објавио следећу изјаву:
Додатна литература
Ево неколико чланака који говоре много више о томе шта је овај експлоат, како функционише и како можете да се уверите да нисте рањиви. Ако сте програмер апликација или сте само заинтересовани да проверите како ово функционише, погледајте.
- Преузимање Фиребасе сервиса за размену порука у облаку: Мало истраживање које је довело до награда од 30к$+
- Рањивост Гоогле Фиребасе порука је омогућила нападачима да шаљу пусх обавештења корисницима апликације