Научете истината зад тези известия, които изскочиха от небето
Разчитаме на известията от приложения, за да ни държим в течение за случващото се. Представете си, ако не сте получили никакви известия и сте пропуснали важните новини и неща, за които разчитате на тях. Но получаването на мистериозни известия може да бъде също толкова тревожно, колкото и да не получавате никакви.
И много хора получават „FCM съобщения. Тестово известие“ или подобни известия от приложения като Google Hangout и Microsoft Teams. Така че е естествено да се притеснявате и в същото време да сте любопитни за тази загадка. Ако сте мислили какво представляват това или защо ги получавате, прочетете нататък!
Какво е тестово уведомление за FCM съобщения
Много потребители на Android съобщават, че получават тези известия за FCM съобщения, които изглеждат така:
FCM съобщения
Тест известия!!!
Броят на S в известието продължава да варира. Сега, допълнителните и удивителни знаци са достатъчно доказателство, че има нещо странно в тези известия. След това добавете фактора, че нищо не се случва, когато отворите приложението, използвайки тези известия; просто нормалният интерфейс на приложението се отваря, сякаш не сте отворили приложението чрез това известие. Няма и следа от тях. И така, какви точно са тези?
Тези известия са резултат от уязвимост в услугата Firebase Cloud Messaging (FCM). Firebase е платформа на Google, която разработчиците използват за създаване на мобилни и уеб приложения. Струва си да се отбележи, че много приложения използват FCM за доставяне на известия.
Abhishek Dharani, известен още като „Abss“, откри уязвимостта, след като разрови APK файловете за тези приложения. APK файловете разкриват чувствителни API ключове, които всеки може да намери, като премине през файловете с гребен с фини зъби. Уязвимостта му позволи да изпраща тези известия до потребителите на мобилни приложения на приложения като Hangout, Microsoft Teams, Google Play Music, YouTube и др.
И след като се занимаваха с логическите условия и изрази, те дори успяха да изпращат известия до потребители, които не са абонати, за известия за тези приложения. Има дори съобщения, че тези известия са успели да заобиколят настройката „тихи часове“ в Microsoft Teams, когато pp технически не трябва да доставя никакви известия.
Има ли за какво да се притеснявате?
Тъй като тези известия са безвредни в момента, няма нужда да се притеснявате твърде много. Но няма нищо лошо да бъдете внимателни, тъй като някой може също да използва тези известия, за да изпраща фалшива информация и да извършва масови фишинг атаки.
Google вече е наясно с уязвимостта и разследва въпроса. Все още няма дума за признание от Microsoft по въпроса.
Струва си да се отбележи, че въпреки че известията са част от POC (доказателство за концепция) от Абхишек и неговия екип, всеки злонамерен нападател може също да злоупотребява с уязвимостта в бъдеще, докато разработчиците не предприемат бързи действия и не направят нещо по отношение на откритите API ключове.
Сега, когато знаете причината за тези известия, това трябва да ви успокои. Но също така трябва да бъдете предпазливи и да внимавате дали тези известия не се превърнат в нещо различно от безобидно от някой нападател.