Hvorfor får jeg "FCM Messages Test Notification" fra Hangouts og Microsoft Teams?

Lær sannheten bak disse varslene som dukket opp ut av det blå

Vi er avhengige av appvarslinger for å holde oss oppdatert om hva som skjer. Tenk om du ikke mottok noen varsler og gikk glipp av de viktige nyhetene og ting du stoler på dem for. Men å få mystiske varsler kan være like urovekkende som å ikke få noen.

Og mange mennesker har fått "FCM-meldinger. Testvarsling» eller lignende varsler fra apper som Google Hangout og Microsoft Teams. Så det er naturlig at du er bekymret og samtidig nysgjerrig på denne gåten. Hvis du har tenkt på hva disse er, eller hvorfor du får dem, les videre!

Hva er FCM Messages Test Notification

Mange Android-brukere har rapportert å få disse FCM Messages-varslene som ser omtrent slik ut:

FCM-meldinger

Testmeldinger!!!

Antallet S i varselet fortsetter å variere. Nå er de ekstra s-ene og utropstegnene bevis nok på at det er noe fishy med disse varslene. Legg så til faktoren at ingenting skjer når du åpner appen ved hjelp av disse varslene; bare det vanlige grensesnittet til appen åpnes som om du ikke hadde åpnet appen gjennom dette varselet. Det er ingen spor etter dem. Så, hva er dette egentlig?

Disse varslene er et resultat av en sårbarhet i Firebase Cloud Messaging (FCM)-tjenesten. Firebase er en plattform fra Google som utviklere bruker til å lage mobil- og nettapper. Det er verdt å merke seg at mange apper bruker FCM for å levere varsler.

Abhishek Dharani, a.k.a. 'Abss', oppdaget sårbarheten etter å ha gravd gjennom APK-filene for disse appene. APK-filene avslørte sensitive API-nøkler som alle kunne finne ved å gå gjennom filene med en fintannet kam. Sårbarheten tillot ham å sende ut disse varslene til mobilappbrukerne av appene som Hangout, Microsoft Teams, Google Play Musikk, YouTube, etc.

Og etter å ha puslet med de logiske betingelsene og uttrykkene, kunne de til og med sende varsler til ikke-abonnenter til varsler for disse appene. Det er til og med rapporter om at disse varslene var i stand til å omgå "stille timer"-innstillingen i Microsoft Teams når pp teknisk sett ikke skulle levere noen varsler.

Er det noe å bekymre seg for?

Siden disse varslene er ufarlige akkurat nå, er det ingen grunn til å bekymre seg for mye. Men det er ingen skade å være forsiktig, siden noen også kan bruke disse varslene til å sende falsk informasjon og utføre massefiskeangrep.

Google er allerede klar over sårbarheten og undersøker saken. Det er ingen anerkjennelse fra Microsoft om saken ennå.

Det er verdt å merke seg at selv om varslene var en del av en POC (proof of concept) av Abhishek og teamet hans, kan enhver ondsinnet angriper også misbruke sårbarheten i fremtiden inntil utviklerne tar rask handling og gjør noe med de eksponerte API-nøklene.

Nå som du vet årsaken bak disse varslene, bør det hvile tankene dine. Men du bør også være forsiktig og være på utkikk etter om disse varslene blir til noe annet enn ufarlig av en angriper.