ช่องโหว่ที่เปิดเผยเมื่อเร็วๆ นี้ใน Firebase Cloud Messaging ทำให้เกิดการแจ้งเตือนแปลกๆ จากแอปต่างๆ เช่น Microsoft Teams และ Hangouts
ดูเหมือนว่าเราจะไปไม่ได้สักวันหากไม่มีข้อบกพร่องด้านความปลอดภัยที่สำคัญปรากฏขึ้นที่ไหนสักแห่งในซอฟต์แวร์หรือบริการบางอย่าง สัปดาห์นี้ดูเหมือนจะเป็นเวลาที่ Firebase Cloud Messaging จะต้องรับมือกับช่องโหว่ที่หาประโยชน์ได้ง่าย
การส่งข้อความบนคลาวด์ของ Firebase เป็นกรอบการทำงานโดย Google เพื่อช่วยทำให้การส่งการแจ้งเตือนผ่านแอปบนเกือบทุกแพลตฟอร์มง่ายขึ้น ด้วยการกำหนดค่าง่ายๆ ของทั้งแอปและเซิร์ฟเวอร์ของคุณ คุณสามารถส่งการแจ้งเตือนแบบพุชทั่วไปหรือแบบกำหนดเป้าหมายไปยังผู้ใช้ของคุณได้ภายในไม่กี่นาที แอป Android ส่วนใหญ่ที่มีการแจ้งเตือนแบบพุชมักจะใช้ Firebase Cloud Messaging (หรือ Google Cloud Messaging แบบเดิม) ในการดำเนินการดังกล่าว ซึ่งรวมถึงแอปจากนักพัฒนางานอดิเรกเพียงคนเดียวไปจนถึงแอปจากบริษัทยักษ์ใหญ่อย่าง Microsoft และแน่นอนว่ารวมถึง Google
การเอารัดเอาเปรียบ
และนั่นคือที่มาของการหาประโยชน์นี้ หากคุณใช้แอพเช่น ทีมไมโครซอฟต์ หรือ Google แฮงเอาท์คุณอาจสังเกตเห็นการแจ้งเตือนแบบสุ่มเข้ามาเมื่อเร็วๆ นี้ เช่นเดียวกับที่อยู่ในภาพหน้าจอต่อไปนี้ สิ่งเหล่านี้มาจากผู้ที่ใช้ประโยชน์จากการกำหนดค่าที่ไม่เหมาะสมของ Firebase Cloud Messaging
ฉันจะไม่ลงรายละเอียดมากเกินไปที่นี่ แต่ปัญหานี้ไม่ใช่ความผิดของ Google จริงๆ เพื่อที่จะส่งการแจ้งเตือนแบบพุชอย่างปลอดภัย Google กำหนดให้เซิร์ฟเวอร์ที่ส่งการแจ้งเตือนจริงต้องส่งรหัสเพื่อตรวจสอบว่าเป็นของแท้ด้วย คีย์นี้ควรจะอยู่ในคอนโซล Firebase และบนเซิร์ฟเวอร์ของคุณเท่านั้น
แต่แอปที่ได้รับผลกระทบไม่ว่าจะด้วยเหตุผลใดก็ตาม ก็มีคีย์อยู่ในตัวเช่นกัน ไม่ได้ใช้ แต่มีอยู่ในข้อความธรรมดาเพื่อให้ทุกคนเห็นและใช้งาน น่าแปลกที่ Google Hangouts และ Google Play Music ดูเหมือนจะเสี่ยงต่อการถูกโจมตีนี้ เช่นเดียวกับ Microsoft Teams ดังนั้นจึงเป็นความผิดของ Google แต่ก็ไม่เป็นเช่นนั้น
และสามารถใช้เพื่อวัตถุประสงค์อันชั่วร้ายได้ แม้ว่าดูเหมือนว่า "การใช้งาน" ส่วนใหญ่ของช่องโหว่นี้จะใช้เพื่อส่งข้อความแปลก ๆ ให้กับผู้คนเท่านั้น แต่ผู้โจมตีก็สามารถดำเนินการหลอกลวงแบบฟิชชิ่งได้ ข้อความแจ้งเตือนอาจเป็น "เซสชันของคุณหมดอายุแล้ว โปรดแตะที่นี่เพื่อลงชื่อเข้าใช้อีกครั้ง" พร้อมด้วย URL ที่เปิดขึ้นเมื่อคุณแตะ URL นั้นอาจกลายเป็นไซต์ที่มีสไตล์ให้ดูเหมือนหน้าเข้าสู่ระบบของ Microsoft แต่แทนที่จะเข้าสู่ระบบ Microsoft คุณจะให้ข้อมูลเข้าสู่ระบบแก่ผู้อื่น
ผู้ใช้ควรทำอย่างไร?
ไม่มีอะไร. ในฐานะผู้ใช้ คุณไม่สามารถทำอะไรได้มากนักเพื่อหยุดการแจ้งเตือนเหล่านี้ คุณสามารถบล็อกช่องทางที่พวกเขาเข้ามาได้ (หรือบล็อกการแจ้งเตือนจากแอปทั้งหมด) แต่คุณไม่สามารถกรองการแจ้งเตือนที่ผิดกฎหมายออกไปได้ เนื่องจากเท่าที่ Firebase รู้ เป็น ถูกต้องตามกฎหมาย
สิ่งที่คุณทำได้คือต้องระวัง หากคุณได้รับการแจ้งเตือนที่ดูเหมือนว่าจะขอรายละเอียดการเข้าสู่ระบบของคุณ—หรือข้อมูลส่วนบุคคลอื่นใดในเรื่องนั้น—อย่าแตะที่การแจ้งเตือนนั้น ให้เปิดแอปโดยตรงแทน หากการแจ้งเตือนเป็นจริง แอปจะแจ้งให้ทราบ มิฉะนั้นอาจเป็นความพยายามฟิชชิง หากคุณแตะการแจ้งเตือน ให้ปิดเว็บไซต์ที่เปิดขึ้นทันที
และสุดท้าย หากคุณได้ใส่รหัสผ่านไว้ในที่ใดที่หนึ่งผ่านการแจ้งเตือนแล้ว ให้เปลี่ยนรหัสผ่านทันที ยกเลิกการอนุญาตอุปกรณ์ที่เข้าสู่ระบบทั้งหมด (ถ้ามี) และเปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัยหากคุณยังไม่ได้เปิดใช้งาน เรียบร้อยแล้ว.
นักพัฒนาควรทำอย่างไร?
หากคุณได้ติดตั้ง Firebase Cloud Messaging ในแอปของคุณ ให้ตรวจสอบไฟล์การกำหนดค่าเพื่อให้แน่ใจว่าไม่มีคีย์เซิร์ฟเวอร์ของคุณอยู่ในนั้น หากเป็นเช่นนั้น ให้ทำให้ใช้งานไม่ได้ทันที สร้างเซิร์ฟเวอร์ใหม่ และกำหนดค่าเซิร์ฟเวอร์ของคุณใหม่
ขอย้ำอีกครั้งว่านี่ไม่ใช่บทความเชิงเทคนิค ดังนั้นคุณจะต้องไปที่ลิงก์ด้านล่างเพื่อดูข้อมูลเพิ่มเติมเกี่ยวกับการบรรเทาผลกระทบ
การตอบสนองของ Google และ Microsoft
โฆษกของ Google กล่าว Swig รายวัน ว่าปัญหานี้ “เกี่ยวข้องโดยเฉพาะกับนักพัฒนา รวมถึงคีย์ API ในโค้ดสำหรับบริการที่ไม่ควร รวมอยู่ด้วยซึ่งสามารถนำไปใช้ประโยชน์ได้” แทนที่จะเป็นบริการ Firebase Cloud Messaging เอง ถูกบุกรุก “ในกรณีที่ Google สามารถระบุได้ว่ามีการใช้รหัสเซิร์ฟเวอร์ เราจะพยายามแจ้งเตือนนักพัฒนาเพื่อให้พวกเขาสามารถแก้ไขแอปของตนได้” โฆษกกล่าวเสริม
Microsoft ออกแถลงการณ์ต่อไปนี้บน Twitter:
อ่านเพิ่มเติม
ต่อไปนี้เป็นบทความบางส่วนที่ให้รายละเอียดเพิ่มเติมเกี่ยวกับประโยชน์ของช่องโหว่นี้ วิธีการทำงาน และวิธีที่คุณสามารถแน่ใจได้ว่าคุณไม่มีช่องโหว่ หากคุณเป็นนักพัฒนาแอป หรือคุณเพียงสนใจที่จะตรวจสอบวิธีการทำงาน โปรดดู
- การเทคโอเวอร์บริการ Firebase Cloud Messaging: งานวิจัยเล็กๆ ที่นำไปสู่ค่าหัวสูงถึง 30k$+
- ช่องโหว่ในการส่งข้อความของ Google Firebase ทำให้ผู้โจมตีสามารถส่งการแจ้งเตือนแบบพุชไปยังผู้ใช้แอปได้