เรียนรู้ความจริงเบื้องหลังการแจ้งเตือนเหล่านี้ที่โผล่ออกมาจากสีน้ำเงิน
เราใช้การแจ้งเตือนของแอปเพื่อให้เราทราบถึงสิ่งที่เกิดขึ้น ลองนึกภาพถ้าคุณไม่ได้รับการแจ้งเตือนและพลาดข่าวสารสำคัญและสิ่งที่คุณต้องพึ่งพาพวกเขา แต่การรับการแจ้งเตือนที่ลึกลับอาจเป็นเรื่องที่น่ากังวลพอๆ กับการไม่ได้รับการแจ้งเตือนใดๆ
และผู้คนจำนวนมากได้รับ “ข้อความ FCM ทดสอบการแจ้งเตือน” หรือการแจ้งเตือนที่คล้ายกันจากแอป เช่น Google Hangout และ Microsoft Teams ดังนั้นจึงเป็นเรื่องปกติที่คุณจะกังวลและในขณะเดียวกันก็อยากรู้เกี่ยวกับปริศนานี้ หากคุณกำลังคิดว่าสิ่งเหล่านี้คืออะไร หรือทำไมคุณถึงได้มันมา อ่านต่อ!
การแจ้งเตือนการทดสอบข้อความ FCM คืออะไร
ผู้ใช้ Android จำนวนมากรายงานว่าได้รับการแจ้งเตือนข้อความ FCM ที่มีลักษณะดังนี้:
ข้อความ FCM
ทดสอบการแจ้งเตือน!!!
จำนวน S ในการแจ้งเตือนจะแตกต่างกันไป ตอนนี้ เครื่องหมายอัศเจรีย์และเครื่องหมายอัศเจรีย์เพิ่มเติมเป็นหลักฐานเพียงพอว่ามีบางอย่างที่ไม่น่าสนใจเกี่ยวกับการแจ้งเตือนเหล่านี้ จากนั้นเพิ่มปัจจัยที่ไม่มีอะไรเกิดขึ้นเมื่อคุณเปิดแอพโดยใช้การแจ้งเตือนเหล่านี้ เพียงอินเทอร์เฟซปกติของแอปจะเปิดขึ้นราวกับว่าคุณไม่ได้เปิดแอปผ่านการแจ้งเตือนนี้ ไม่มีร่องรอยของพวกเขา แล้วสิ่งเหล่านี้คืออะไรกันแน่?
การแจ้งเตือนเหล่านี้เป็นผลมาจากช่องโหว่ในบริการ Firebase Cloud Messaging (FCM) Firebase เป็นแพลตฟอร์มของ Google ที่นักพัฒนาซอฟต์แวร์ใช้เพื่อสร้างแอปบนอุปกรณ์เคลื่อนที่และเว็บ เป็นที่น่าสังเกตว่าแอพจำนวนมากใช้ FCM เพื่อส่งการแจ้งเตือน
Abhishek Dharani หรือที่รู้จักในชื่อ 'Abss' ได้ค้นพบช่องโหว่หลังจากขุดค้นไฟล์ APK สำหรับแอปเหล่านี้ ไฟล์ APK เปิดเผยคีย์ API ที่ละเอียดอ่อนซึ่งทุกคนสามารถค้นหาได้โดยใช้หวีซี่ละเอียด ช่องโหว่ดังกล่าวทำให้เขาสามารถส่งการแจ้งเตือนเหล่านี้ไปยังผู้ใช้แอปบนอุปกรณ์เคลื่อนที่ของแอป เช่น Hangout, Microsoft Teams, Google Play Music, YouTube เป็นต้น
และหลังจากแก้ไขเงื่อนไขและนิพจน์เชิงตรรกะแล้ว พวกเขายังสามารถส่งการแจ้งเตือนไปยังผู้ใช้ที่ไม่ได้สมัครรับการแจ้งเตือนสำหรับแอปเหล่านี้ได้อีกด้วย มีแม้กระทั่งรายงานว่าการแจ้งเตือนเหล่านี้สามารถข้ามการตั้งค่า "ชั่วโมงที่เงียบ" ใน Microsoft Teams ได้ เมื่อในทางเทคนิคแล้ว pp ไม่ควรส่งการแจ้งเตือนใดๆ
มีอะไรน่าเป็นห่วงไหม?
เนื่องจากการแจ้งเตือนเหล่านี้ไม่เป็นอันตรายในขณะนี้ คุณจึงไม่ต้องกังวลอะไรมาก แต่ความระมัดระวังนั้นไม่มีอันตราย เนื่องจากอาจมีคนใช้การแจ้งเตือนเหล่านี้เพื่อส่งข้อมูลเท็จและดำเนินการโจมตีแบบฟิชชิ่งจำนวนมาก
Google ทราบถึงช่องโหว่แล้วและกำลังตรวจสอบเรื่องนี้อยู่ ยังไม่มีคำรับรองจาก Microsoft ในเรื่องนี้
เป็นที่น่าสังเกตว่าแม้ว่าการแจ้งเตือนจะเป็นส่วนหนึ่งของ POC (การพิสูจน์แนวคิด) โดย Abhishek และทีมของเขา แต่ผู้โจมตีที่ประสงค์ร้ายสามารถใช้ช่องโหว่นี้ในทางที่ผิดได้ในอนาคตจนกว่านักพัฒนาจะดำเนินการอย่างรวดเร็วและดำเนินการบางอย่างเกี่ยวกับคีย์ API ที่ถูกเปิดเผย
เมื่อคุณทราบเหตุผลเบื้องหลังการแจ้งเตือนเหล่านี้แล้ว ก็ควรทำใจให้สงบ แต่คุณควรยังคงระมัดระวังและระวังหากการแจ้งเตือนเหล่านี้กลายเป็นอย่างอื่นที่ไม่ใช่อันตรายจากผู้โจมตี