Warum erhalte ich "FCM Messages Test Notification" von Hangouts und Microsoft Teams?

Erfahren Sie die Wahrheit hinter diesen Benachrichtigungen, die aus heiterem Himmel erschienen

Wir verlassen uns auf App-Benachrichtigungen, um uns über das Geschehen auf dem Laufenden zu halten. Stellen Sie sich vor, Sie erhalten keine Benachrichtigungen und verpassen wichtige Nachrichten und Dinge, auf die Sie sich verlassen. Aber mysteriöse Benachrichtigungen zu erhalten, kann genauso besorgniserregend sein wie keine.

Und viele Leute haben „FCM-Nachrichten. Testbenachrichtigung“ oder ähnliche Benachrichtigungen von Apps wie Google Hangout und Microsoft Teams. Da ist es natürlich, dass Sie sich Sorgen machen und gleichzeitig neugierig auf dieses Rätsel sind. Wenn Sie darüber nachgedacht haben, was diese sind oder warum Sie sie bekommen, lesen Sie weiter!

Was ist die Testbenachrichtigung für FCM-Nachrichten?

Viele Android-Benutzer haben gemeldet, dass sie diese FCM-Nachrichtenbenachrichtigungen erhalten, die ungefähr so ​​​​aussehen:

FCM-Nachrichten

Testbenachrichtigungen!!!

Die Anzahl der S in der Benachrichtigung variiert ständig. Nun, die zusätzlichen s und Ausrufezeichen sind Beweis genug dafür, dass diese Benachrichtigungen etwas faul sind. Fügen Sie dann den Faktor hinzu, dass nichts passiert, wenn Sie die App mit diesen Benachrichtigungen öffnen. es öffnet sich nur die normale Oberfläche der App, als ob Sie die App durch diese Benachrichtigung nicht geöffnet hätten. Keine Spur von ihnen. Also, was genau sind das?

Diese Benachrichtigungen sind das Ergebnis einer Sicherheitslücke im Firebase Cloud Messaging (FCM) Service. Firebase ist eine Plattform von Google, mit der Entwickler mobile und Web-Apps erstellen. Es ist erwähnenswert, dass viele Apps FCM verwenden, um Benachrichtigungen zu übermitteln.

Abhishek Dharani, alias ‚Abss‘, entdeckte die Schwachstelle, nachdem er die APK-Dateien für diese Apps durchsucht hatte. Die APK-Dateien legten sensible API-Schlüssel offen, die jeder finden konnte, indem er die Dateien mit einem feinen Kamm durchging. Die Sicherheitslücke ermöglichte es ihm, diese Benachrichtigungen an die mobilen App-Benutzer von Apps wie Hangout, Microsoft Teams, Google Play Music, YouTube usw. zu senden.

Und nachdem sie an den logischen Bedingungen und Ausdrücken herumgebastelt hatten, konnten sie sogar Benachrichtigungen an Nicht-Abonnenten zu Benachrichtigungen für diese Apps senden. Es gibt sogar Berichte, dass diese Benachrichtigungen die Einstellung „Stille Stunden“ in Microsoft Teams umgehen konnten, wenn die PP technisch keine Benachrichtigungen liefern sollte.

Gibt es etwas zu befürchten?

Da diese Benachrichtigungen im Moment harmlos sind, brauchen Sie sich nicht zu viele Sorgen zu machen. Aber Vorsicht schadet nicht, denn mit diesen Benachrichtigungen kann jemand auch falsche Informationen versenden und Massen-Phishing-Angriffe durchführen.

Google ist sich der Sicherheitslücke bereits bewusst und untersucht die Angelegenheit. Es gibt noch kein Wort der Bestätigung von Microsoft zu dieser Angelegenheit.

Es ist erwähnenswert, dass, obwohl die Benachrichtigungen Teil eines POC (Proof of Concept) von Abhishek und seinem Team waren, jeder böswillige Angreifer die Schwachstelle in Zukunft auch missbrauchen kann, bis die Entwickler schnell reagieren und etwas gegen die offengelegten API-Schlüssel unternehmen.

Jetzt, da Sie den Grund für diese Benachrichtigungen kennen, sollten Sie sich beruhigen. Aber Sie sollten auch vorsichtig bleiben und Ausschau halten, wenn diese Benachrichtigungen von einem Angreifer zu etwas anderem als harmlos werden.