突然飛び出したこれらの通知の背後にある真実を学ぶ
私たちはアプリの通知に依存して、何が起こっているのかを常に把握しています。通知を受け取らなかった場合や、重要なニュースやそれらに依存しているものを見逃した場合を想像してみてください。しかし、不思議な通知を受け取ることは、何も受け取らないことと同じくらい心配になる可能性があります。
そして、多くの人が「FCMメッセージ」を受け取っています。 「テスト通知」またはGoogleハングアウトやMicrosoftTeamsなどのアプリからの同様の通知。ですから、あなたが心配していると同時に、この謎に興味を持っているのは当然のことです。これらが何であるか、またはなぜそれらを取得するのかを考えている場合は、読んでください!
FCMメッセージテスト通知とは
多くのAndroidユーザーから、次のようなFCMメッセージ通知が届くとの報告があります。
FCMメッセージ
通知をテストします!!!
通知内のSの数は変化し続けます。さて、余分なsと感嘆符は、これらの通知について何か怪しいものがあることを十分に証明しています。次に、これらの通知を使用してアプリを開いても何も起こらないという要素を追加します。この通知でアプリを開かなかったかのように、アプリの通常のインターフェースだけが開きます。それらの痕跡はありません。それで、これらは正確には何ですか?
これらの通知は、Firebase Cloud Messaging(FCM)サービスの脆弱性の結果です。 Firebaseは、デベロッパーがモバイルアプリやウェブアプリを作成するために使用するGoogleのプラットフォームです。多くのアプリがFCMを使用して通知を配信していることは注目に値します。
Abhishek Dharani、別名「Abss」は、これらのアプリのAPKファイルを調べた後、この脆弱性を発見しました。 APKファイルは、細かい櫛でファイルを調べることで誰もが見つけることができる機密のAPIキーを公開しました。この脆弱性により、ハングアウト、Microsoft Teams、Google Playミュージック、YouTubeなどのアプリのモバイルアプリユーザーにこれらの通知を送信することができました。
そして、論理的な条件と表現をいじくり回した後、彼らはこれらのアプリの通知に非加入者ユーザーに通知を送ることさえできました。 ppが技術的に通知を配信するべきではない場合、これらの通知がMicrosoftTeamsの「静かな時間」設定をバイパスできたという報告もあります。
気になることはありますか?
これらの通知は現在無害であるため、あまり心配する必要はありません。ただし、誰かがこれらの通知を使用して誤った情報を送信したり、大量のフィッシング攻撃を実行したりする可能性があるため、注意しても害はありません。
Googleはすでに脆弱性を認識しており、問題を調査しています。この問題について、Microsoftからの承認の言葉はまだありません。
通知はAbhishekと彼のチームによるPOC(概念実証)の一部でしたが、開発者が迅速なアクションを実行して公開されたAPIキーに対して何かを行うまで、悪意のある攻撃者も将来この脆弱性を悪用する可能性があることに注意してください。
これらの通知の背後にある理由がわかったので、心を休ませる必要があります。ただし、これらの通知が攻撃者によって無害以外のものに変わる場合は、注意を払い、注意を払う必要があります。