了解这些突然出现的通知背后的真相
我们依靠应用程序通知让我们了解正在发生的事情。想象一下,如果您没有收到任何通知并错过了您依赖它们的重要新闻和内容。但是,收到神秘通知可能与没有收到任何通知一样令人担忧。
很多人都收到了“FCM 消息”。测试通知”或来自 Google Hangout 和 Microsoft Teams 等应用的类似通知。因此,您很自然地感到担心,同时又对这个谜感到好奇。如果您一直在思考这些是什么,或者为什么要得到它们,请继续阅读!
什么是 FCM 消息测试通知
许多 Android 用户报告收到这些 FCM 消息通知,如下所示:
FCM 消息
测试通知!!!
通知中 S 的数量不断变化。现在,额外的 s 和感叹号足以证明这些通知有些可疑。然后添加当您使用这些通知打开应用程序时没有任何反应的因素;只是应用程序的正常界面打开,就好像您没有通过此通知打开应用程序一样。没有他们的踪迹。那么,这些究竟是什么呢?
这些通知是 Firebase Cloud Messaging (FCM) 服务中存在漏洞的结果。 Firebase 是 Google 的一个平台,开发人员可以使用它来创建移动和网络应用程序。值得注意的是,许多应用程序使用 FCM 来传递通知。
Abhishek Dharani,又名“Abss”,在挖掘这些应用程序的 APK 文件后发现了该漏洞。 APK 文件暴露了敏感的 API 密钥,任何人都可以通过使用细齿梳浏览文件来找到这些密钥。该漏洞允许他向 Hangout、Microsoft Teams、Google Play Music、YouTube 等应用的移动应用用户发送这些通知。
在修改逻辑条件和表达式后,他们甚至能够向非订阅用户发送通知,以了解这些应用程序的通知。甚至有报道称,当 pp 技术上不应发送任何通知时,这些通知能够绕过 Microsoft Teams 中的“安静时间”设置。
有什么可担心的吗?
由于这些通知目前是无害的,因此无需过多担心。但是小心一点没有坏处,因为有人也可以使用这些通知发送虚假信息并进行大规模网络钓鱼攻击。
谷歌已经意识到该漏洞并正在调查此事。微软还没有对此事表示承认。
值得注意的是,即使通知是 Abhishek 及其团队的 POC(概念证明)的一部分,任何恶意攻击者在未来也可以滥用该漏洞,直到开发人员迅速采取行动并对暴露的 API 密钥采取措施。
既然您知道这些通知背后的原因,它应该让您放心。但是,您也应该保持谨慎,并留意这些通知是否会被某些攻击者变成无害的东西。