Firebase Cloud Messaging'de yakın zamanda açıklanan bir güvenlik açığı, Microsoft Teams ve Hangouts gibi uygulamalardan garip bildirimlerin gelmesine yol açtı.
Öyle görünüyor ki, bazı yazılım veya hizmetlerde bir yerde başka bir önemli güvenlik açığının ortaya çıkmadan bir gün bile geçiremeyiz. Bu hafta, Firebase Cloud Messaging'in kolayca istismar edilebilecek bir güvenlik açığıyla karşılaşmasının zamanı gibi görünüyor.
Firebase Bulut Mesajlaşma Google'ın, neredeyse her platformdaki uygulamalar aracılığıyla bildirim göndermeyi kolaylaştırmaya yardımcı olan bir çerçevesidir. Hem uygulamanızın hem de sunucunuzun basit bir yapılandırmasıyla, kullanıcılarınıza birkaç dakika içinde genel veya hedefli anlık bildirimler gönderebilirsiniz. Anlık bildirimler sunan çoğu Android uygulaması, bunu yapmak için muhtemelen Firebase Cloud Messaging'i (veya eski Google Cloud Messaging'i) kullanıyor. Bu, tek hobici geliştiricilerin uygulamalarını, Microsoft ve tabii ki Google gibi dev şirketlerin uygulamalarına kadar içerir.
İstismar
İşte bu istismarın devreye girdiği yer burasıdır. Gibi uygulamaları kullanıyorsanız Microsoft Ekipleri veya Google Hangouts, yakın zamanda aşağıdaki ekran görüntüsündeki gibi rastgele bildirimlerin geldiğini fark etmiş olabilirsiniz. Bunlar, Firebase Cloud Messaging'in uygunsuz yapılandırmalarından yararlanan kişilerden geliyor.
Burada çok fazla ayrıntıya girmeyeceğim ancak bu sorun aslında Google'ın hatası değil. Anlık bildirimleri güvenli bir şekilde göndermek için Google, bildirimleri gönderen sunucunun da bildirimlerin orijinalliğini doğrulayacak bir anahtar göndermesini gerektirir. Bu anahtarın yalnızca Firebase konsolunuzda ve sunucunuzda olması gerekir.
Ancak, hangi nedenle olursa olsun, etkilenen uygulamalarda da anahtar yerleşik olarak bulunur. Kullanılmıyor, ancak herkesin görmesi ve kullanması için düz metin olarak orada. İronik bir şekilde, Microsoft Teams'in yanı sıra Google Hangouts ve Google Play Müzik de bu istismara karşı savunmasız görünüyor. Yani bu bir nevi Google'ın hatası ama aslında değil.
Ve oldukça kötü amaçlar için kullanılabilir. Bu güvenlik açığının "uygulamalarının" çoğu yalnızca insanlara garip metinler göndermek için kullanılmış gibi görünse de, bir saldırganın kimlik avı dolandırıcılığı yapması mümkündür. Bildirim metni şöyle olabilir: "Oturumunuzun süresi doldu. Tekrar oturum açmak için lütfen buraya dokunun" mesajı görüntülenir ve dokunduğunuzda başlatılan bir URL bulunur. Bu URL, örneğin Microsoft'un giriş sayfasına benzeyecek şekilde tasarlanmış bir site haline gelebilir. Ancak Microsoft'ta oturum açmak yerine birine oturum açma bilgilerinizi veriyorsunuz.
Kullanıcılar Ne Yapmalı?
Hiç bir şey. Bir kullanıcı olarak bu bildirimleri durdurmak için yapabileceğiniz pek bir şey yok. Gelen kanalları engelleyebilirsiniz (veya uygulamadan gelen bildirimleri tamamen engelleyebilirsiniz), ancak Firebase'in bildiği kadarıyla, yasal olmayan bildirimleri filtreleyemezsiniz. öyle meşru.
Ancak yapabileceğiniz şey dikkatli olmaktır. Giriş bilgilerinizi veya bu konuyla ilgili diğer kişisel bilgilerinizi isteyen bir bildirim alırsanız, ona dokunmayın. Bunun yerine uygulamayı doğrudan açın. Bildirim gerçekse uygulama bunu gösterecektir. Aksi takdirde, muhtemelen bir kimlik avı girişimiydi. Bir bildirime dokunursanız açılan web sitelerini hemen kapatın.
Son olarak, eğer şifrenizi bir bildirim yoluyla zaten bir yere koyduysanız hemen değiştirin, Oturum açmış tüm cihazların yetkisini kaldırın (varsa) ve henüz yapmadıysanız iki faktörlü kimlik doğrulamayı etkinleştirin çoktan.
Geliştiriciler Ne Yapmalı?
Firebase Cloud Messaging'i uygulamalarınıza uyguladıysanız sunucu anahtarlarınızın orada olmadığından emin olmak için yapılandırma dosyalarını kontrol edin. Eğer öyleyse, bunları hemen geçersiz kılın, yenilerini oluşturun ve sunucunuzu yeniden yapılandırın.
Tekrar belirtmek isterim ki bu çok teknik bir makale değil, dolayısıyla hafifletme hakkında daha fazla bilgi için aşağıdaki bağlantıları ziyaret etmek isteyeceksiniz.
Google ve Microsoft Yanıtları
Bir Google sözcüsü söyledi Günlük Swig Sorunun "özellikle geliştiricilerin, API anahtarlarını kodlarına dahil etmemeleri gereken hizmetler için eklemeleriyle ilgili olduğu" belirtildi. Firebase Cloud Messaging hizmetinin kendisi yerine, daha sonra istismar edilebilecek olan dahil edilebilir. sınırlı. Sözcü, "Google'ın bir sunucu anahtarının kullanıldığını tespit edebildiği durumlarda, geliştiricileri uygulamalarını düzeltebilmeleri için uyarmaya çalışıyoruz" diye ekledi.
Microsoft, Twitter'da şu açıklamayı yaptı:
Daha fazla okuma
Bu istismarın ne olduğu, nasıl çalıştığı ve savunmasız olmadığınızdan nasıl emin olabileceğiniz hakkında çok daha ayrıntılı bilgi veren birkaç makaleyi burada bulabilirsiniz. Bir uygulama geliştiricisiyseniz veya bunun nasıl çalıştığını öğrenmek istiyorsanız bir göz atın.
- Firebase Bulut Mesajlaşma Hizmetinin Devralınması: 30.000$'dan fazla ödül kazandıran küçük bir araştırma
- Google Firebase mesajlaşma güvenlik açığı, saldırganların uygulama kullanıcılarına anlık bildirimler göndermesine olanak tanıdı