Falešné Android notifikace – nejdřív Google, poté i Microsoft
Pokud jste uživatel Androidu, mohli vás zaskočit nechtěná vyskakovací okna. Jednou z prvních obětí se stala aplikace Google Hangouts.
Uživatelé po celém světě celý den (mnozí si stěžují, že je notifikace dokonce budí), dostávají zprávy vypadající jako spam:
Zprávy neobsahovaly odkazy ani nepožadovaly akci, takže zde nebyl žádný očividný pokus o zločin. Vypadaly spíše jako test – ale od koho a proč? Čtyři vykřičníky napovídají, že se jedná o podezřelou zprávu.
Pozornost brzy upoutal článek, který byl vydán před 2 týdny společnosti, která si říká „Abss“. Tato společnost říká, že si vydělala víc než 30 000 dolarů díky odměnám za objevení bugů v Android aplikacích.
Společnost Abss si všimla, že mnoho populárních Android aplikací používá notification interface od Google, známe jako FCM (Firebase Cloud Messaging). Zamyslela se, jak bezpečné je ověření mezi těmito aplikacemi a FCM backendem. Navíc, mohou odesílat podvodné zprávy do FCM systému, který je přepošle jako notifikace do aplikací uživatelů.
Společnost Abss zjistila, že bylo možné vyjmout použitelné FCM ověřovací tokeny z mnohých populárních aplikací použitím debugging nástrojů, které sledují aplikace při chodu a zaznamenávají data, která používají.
Práce, která za to stojí
Jak jsme již zmínili výše. Společnost Abss neměla nic společného s otravnými Hangouts zprávami popisovanými výše – pouze objevila způsob, kterým by aplikace mohla být zneužita k nechtěným použitím.
Google vyřešil tento problém poměrně rychle, nejspíš updatem aplikace a změnou FCM ověřovacího klíče, nebo obojího.
Další byl na řadě Microsoft, uživatelé Teams na Android zařízeních dostávali zprávy se 4 vykřičníky.
Microsoft rychle začal tento problém řešit, což pouze vybídlo útočníky k další vlně zpráv.
Microsoft nejspíš tento problém vyřešil – a ne, společnost neposlala další upozornění skrz Teams k oznámení opravy. Použili raději Twitter.