Tại sao tôi nhận được "Thông báo kiểm tra tin nhắn FCM" từ Hangouts và Microsoft Teams?

Tìm hiểu sự thật đằng sau những thông báo bật ra từ màu xanh này

Chúng tôi dựa vào thông báo của ứng dụng để cập nhật cho chúng tôi về những gì đang diễn ra. Hãy tưởng tượng nếu bạn không nhận được bất kỳ thông báo nào và bỏ lỡ những tin tức và nội dung quan trọng mà bạn dựa vào chúng. Nhưng việc nhận được các thông báo bí ẩn cũng có thể đáng lo ngại như việc không nhận được bất kỳ thông báo nào.

Và rất nhiều người đã nhận được “Tin nhắn FCM. Thông báo kiểm tra ”hoặc các thông báo tương tự từ các ứng dụng như Google Hangout và Microsoft Teams. Vì vậy, việc bạn lo lắng và đồng thời tò mò về bí ẩn này là điều đương nhiên. Nếu bạn đang nghĩ đây là những gì hoặc tại sao bạn nhận được chúng, hãy đọc tiếp!

Thông báo kiểm tra tin nhắn FCM là gì

Rất nhiều người dùng Android đã báo cáo rằng họ nhận được những thông báo FCM Messages trông giống như sau:

Tin nhắn FCM

Thông báo thử nghiệm !!!

Số lượng chữ S trong thông báo tiếp tục thay đổi. Giờ đây, dấu chấm thừa và dấu chấm than là bằng chứng đủ cho thấy có điều gì đó khó hiểu về những thông báo này. Sau đó, thêm yếu tố không có gì xảy ra khi bạn mở ứng dụng bằng các thông báo này; chỉ giao diện bình thường của ứng dụng mở ra như thể bạn chưa mở ứng dụng thông qua thông báo này. Không có dấu vết của chúng. Vì vậy, những gì chính xác là những gì?

Các thông báo này là kết quả của một lỗ hổng trong Dịch vụ nhắn tin qua đám mây của Firebase (FCM). Firebase là một nền tảng của Google mà các nhà phát triển sử dụng để tạo các ứng dụng web và thiết bị di động. Điều đáng chú ý là nhiều ứng dụng sử dụng FCM để gửi thông báo.

Abhishek Dharani, còn gọi là ‘Abss‘, đã phát hiện ra lỗ hổng bảo mật sau khi tìm hiểu các tệp APK cho các ứng dụng này. Các tệp APK hiển thị các khóa API nhạy cảm mà bất kỳ ai cũng có thể tìm thấy bằng cách xem qua các tệp bằng một chiếc lược nhỏ. Lỗ hổng bảo mật cho phép anh ta gửi những thông báo này tới những người dùng ứng dụng di động của các ứng dụng như Hangout, Microsoft Teams, Google Play Âm nhạc, YouTube, v.v.

Và sau khi mày mò với các điều kiện và biểu thức logic, họ thậm chí có thể gửi thông báo cho những người dùng không đăng ký thông báo cho các ứng dụng này. Thậm chí còn có báo cáo rằng những thông báo này có thể bỏ qua cài đặt "giờ yên tĩnh" trong Microsoft Teams khi về mặt kỹ thuật, pp sẽ không cung cấp bất kỳ thông báo nào.

Có điều gì phải lo lắng không?

Vì hiện tại những thông báo này vô hại nên bạn không cần phải lo lắng quá nhiều. Nhưng không có hại gì khi cẩn thận vì ai đó cũng có thể sử dụng những thông báo này để gửi thông tin sai lệch và thực hiện các cuộc tấn công lừa đảo hàng loạt.

Google đã biết về lỗ hổng bảo mật và đang điều tra vấn đề. Chưa có lời xác nhận nào từ Microsoft về vấn đề này.

Điều đáng chú ý là mặc dù các thông báo là một phần của POC (bằng chứng về khái niệm) của Abhishek và nhóm của anh ấy, bất kỳ kẻ tấn công độc hại nào cũng có thể lạm dụng lỗ hổng bảo mật trong tương lai cho đến khi các nhà phát triển hành động nhanh chóng và làm gì đó với các khóa API bị lộ.

Bây giờ bạn đã biết lý do đằng sau những thông báo này, bạn nên để tâm trí của mình được nghỉ ngơi. Tuy nhiên, bạn cũng nên thận trọng và đề phòng nếu những thông báo này biến thành thứ gì đó không phải là vô hại bởi một số kẻ tấn công.