Ontdek de waarheid achter deze meldingen die uit de lucht kwamen vallen
We vertrouwen op app-meldingen om ons op de hoogte te houden van wat er gaande is. Stel je voor dat je geen meldingen hebt ontvangen en het belangrijke nieuws hebt gemist en dingen waarvoor je op hen vertrouwt. Maar het krijgen van mysterieuze meldingen kan net zo zorgwekkend zijn als het niet ontvangen.
En veel mensen hebben "FCM-berichten. Test Notification" of soortgelijke meldingen van apps zoals Google Hangout en Microsoft Teams. Het is dus logisch dat je je zorgen maakt en tegelijkertijd nieuwsgierig bent naar dit raadsel. Als je hebt nagedacht over wat dit zijn, of waarom je ze krijgt, lees dan verder!
Wat is FCM-berichtentestmelding?
Veel Android-gebruikers hebben gemeld dat ze deze FCM-berichtenmeldingen ontvangen die er ongeveer zo uitzien:
FCM-berichten
Testmeldingenss!!!
Het aantal S'en in de melding blijft variëren. Nu zijn de extra s en uitroeptekens voldoende bewijs dat er iets vreemds aan deze meldingen is. Voeg vervolgens de factor toe dat er niets gebeurt wanneer u de app opent met deze meldingen; alleen de normale interface van de app wordt geopend alsof je de app niet via deze melding hebt geopend. Er is geen spoor van hen. Dus, wat zijn dit precies?
Deze meldingen zijn het gevolg van een kwetsbaarheid in de Firebase Cloud Messaging (FCM) Service. Firebase is een platform van Google dat ontwikkelaars gebruiken om mobiele en web-apps te maken. Het is vermeldenswaard dat veel apps FCM gebruiken om meldingen te bezorgen.
Abhishek Dharani, ook bekend als 'Abss', ontdekte de kwetsbaarheid na het doorzoeken van de APK-bestanden voor deze apps. De APK-bestanden legden gevoelige API-sleutels bloot die iedereen kon vinden door de bestanden met een fijne kam te doorlopen. Door de kwetsbaarheid kon hij deze meldingen verzenden naar de gebruikers van mobiele apps van apps zoals Hangout, Microsoft Teams, Google Play Music, YouTube, enz.
En na wat gesleuteld te hebben aan de logische voorwaarden en uitdrukkingen, waren ze zelfs in staat om notificaties naar niet-abonnee gebruikers naar notificaties voor deze apps te sturen. Er zijn zelfs berichten dat deze notificaties de ‘stille uren’-instelling in Microsoft Teams konden omzeilen terwijl de pp technisch gezien geen notificaties zou moeten afgeven.
Is er iets om je zorgen over te maken?
Aangezien deze meldingen op dit moment onschadelijk zijn, hoeft u zich geen zorgen te maken. Maar voorzichtig zijn kan geen kwaad, want iemand kan deze meldingen ook gebruiken om valse informatie te verzenden en massale phishing-aanvallen uit te voeren.
Google is al op de hoogte van de kwetsbaarheid en onderzoekt de zaak. Er is nog geen woord van erkenning van Microsoft over de kwestie.
Het is vermeldenswaard dat hoewel de meldingen deel uitmaakten van een POC (proof of concept) van Abhishek en zijn team, elke kwaadwillende aanvaller in de toekomst ook misbruik kan maken van de kwetsbaarheid totdat de ontwikkelaars snel actie ondernemen en iets doen aan de blootgestelde API-sleutels.
Nu u de reden achter deze meldingen kent, zou het u tot rust moeten brengen. Maar je moet ook voorzichtig blijven en uitkijken of deze meldingen door een aanvaller in iets anders dan ongevaarlijk worden.