Alamin ang katotohanan sa likod ng mga notification na ito na biglang lumabas
Umaasa kami sa mga notification ng app para panatilihin kaming nakakaalam tungkol sa kung ano ang nangyayari. Isipin kung hindi ka nakatanggap ng anumang mga abiso at napalampas ang mahahalagang balita at bagay na umaasa ka sa kanila. Ngunit ang pagkuha ng mga mahiwagang abiso ay maaaring kasing-alala ng hindi nakakakuha ng anuman.
At maraming tao ang nakakakuha ng “FCM Messages. Test Notification" o mga katulad na notification mula sa mga app tulad ng Google Hangout at Microsoft Teams. Kaya natural na nag-aalala ka at, sa parehong oras, mausisa tungkol sa enigma na ito. Kung iniisip mo kung ano ang mga ito, o kung bakit mo nakukuha ang mga ito, basahin mo pa!
Ano ang FCM Messages Test Notification
Maraming user ng Android ang nag-ulat na nakakatanggap ng mga notification sa FCM Messages na ganito ang hitsura:
Mga Mensahe ng FCM
Test Notificationsss!!!
Ang bilang ng mga S sa notification ay patuloy na nag-iiba. Ngayon, ang mga dagdag na s at tandang padamdam ay sapat na katibayan na may kakaiba sa mga notification na ito. Pagkatapos ay idagdag ang kadahilanan na walang mangyayari kapag binuksan mo ang app gamit ang mga notification na ito; ang normal na interface lang ng app ay bubukas na parang hindi mo binuksan ang app sa pamamagitan ng notification na ito. Walang bakas sa kanila. Kaya, ano nga ba ang mga ito?
Ang mga notification na ito ay resulta ng isang kahinaan sa Serbisyo ng Firebase Cloud Messaging (FCM). Ang Firebase ay isang platform ng Google na ginagamit ng mga developer para gumawa ng mga mobile at web app. Kapansin-pansin na maraming app ang gumagamit ng FCM para maghatid ng mga notification.
Natuklasan ni Abhishek Dharani, a.k.a. 'Abss', ang kahinaan pagkatapos suriin ang mga APK file para sa mga app na ito. Ang mga APK file ay naglantad ng mga sensitibong API key na mahahanap ng sinuman sa pamamagitan ng pagsuri sa mga file gamit ang isang fine-tooth comb. Ang kahinaan ay nagbigay-daan sa kanya na ipadala ang mga notification na ito sa mga user ng mobile app ng mga app tulad ng Hangout, Microsoft Teams, Google Play Music, YouTube, atbp.
At pagkatapos pag-isipan ang mga lohikal na kundisyon at expression, nakapagpadala pa sila ng mga notification sa mga user na hindi subscriber sa mga notification para sa mga app na ito. Mayroong kahit na mga ulat na ang mga notification na ito ay nagawang i-bypass ang setting ng 'tahimik na oras' sa Microsoft Teams kapag ang pp ay teknikal na hindi dapat maghatid ng anumang mga notification.
Mayroon bang anumang bagay na dapat alalahanin?
Dahil hindi nakakapinsala ang mga notification na ito sa ngayon, hindi na kailangang mag-alala nang labis. Ngunit walang masama sa pagiging maingat dahil magagamit din ng isang tao ang mga notification na ito para magpadala ng maling impormasyon at magsagawa ng malawakang pag-atake ng phishing.
Alam na ng Google ang kahinaan at sinisiyasat ang bagay na ito. Wala pang salita ng pagkilala mula sa Microsoft sa bagay na ito.
Kapansin-pansin na kahit na ang mga notification ay bahagi ng isang POC (patunay ng konsepto) ni Abhishek at ng kanyang team, maaari ding abusuhin ng sinumang malisyosong attacker ang kahinaan sa hinaharap hanggang sa gumawa ng mabilis na pagkilos ang mga developer at gumawa ng isang bagay tungkol sa mga nakalantad na API key.
Ngayong alam mo na ang dahilan sa likod ng mga notification na ito, dapat nitong ipahinga ang iyong isip. Ngunit dapat ka ring manatiling maingat at maging maingat kung ang mga notification na ito ay magiging isang bagay maliban sa hindi nakakapinsala ng ilang umaatake.