Saiba a verdade por trás dessas notificações que surgiram do nada
Contamos com notificações de aplicativos para nos manter informados sobre o que está acontecendo. Imagine se você não recebeu nenhuma notificação e perdeu as notícias importantes e coisas nas quais você confia. Mas receber notificações misteriosas pode ser tão preocupante quanto não receber.
E muitas pessoas têm recebido “Mensagens do FCM. Notificação de teste ”ou notificações semelhantes de aplicativos como Google Hangout e Microsoft Teams. Portanto, é natural que você esteja preocupado e, ao mesmo tempo, curioso sobre esse enigma. Se você tem pensado o que são ou por que os está comprando, continue lendo!
O que é Notificação de Teste de Mensagens FCM
Muitos usuários do Android relataram ter recebido essas notificações de mensagens do FCM parecidas com estas:
Mensagens FCM
Notificações de testess !!!
O número de S na notificação continua variando. Agora, os se extras e pontos de exclamação são evidências suficientes de que há algo suspeito nessas notificações. Em seguida, acrescente o fator de que nada acontece quando você abre o aplicativo usando essas notificações; apenas a interface normal do aplicativo é aberta como se você não tivesse aberto o aplicativo por meio desta notificação. Não há vestígios deles. Então, o que exatamente são esses?
Essas notificações são resultado de uma vulnerabilidade no serviço Firebase Cloud Messaging (FCM). Firebase é uma plataforma do Google que os desenvolvedores usam para criar aplicativos móveis e da web. É importante notar que muitos aplicativos usam o FCM para entregar notificações.
Abhishek Dharani, também conhecido como ‘Abss’, descobriu a vulnerabilidade depois de vasculhar os arquivos APK para esses aplicativos. Os arquivos APK expunham chaves API sensíveis que qualquer um poderia encontrar examinando os arquivos com um pente fino. A vulnerabilidade permitiu que ele enviasse essas notificações aos usuários de aplicativos móveis de aplicativos como Hangout, Microsoft Teams, Google Play Music, YouTube, etc.
E depois de mexer nas condições e expressões lógicas, eles puderam até mesmo enviar notificações para usuários não assinantes para esses aplicativos. Há até relatos de que essas notificações foram capazes de contornar a configuração de "horas de silêncio" no Microsoft Teams, quando o pp tecnicamente não deveria entregar nenhuma notificação.
Há algo para se preocupar?
Como essas notificações são inofensivas no momento, não há necessidade de se preocupar muito. Mas não há mal nenhum em ser cuidadoso, pois alguém também pode usar essas notificações para enviar informações falsas e realizar ataques de phishing em massa.
O Google já está ciente da vulnerabilidade e está investigando o assunto. Não há nenhuma palavra de confirmação da Microsoft sobre o assunto ainda.
É importante notar que, embora as notificações fizessem parte de um POC (prova de conceito) por Abhishek e sua equipe, qualquer invasor mal-intencionado também pode abusar da vulnerabilidade no futuro até que os desenvolvedores tomem uma ação rápida e façam algo sobre as chaves de API expostas.
Agora que você sabe o motivo dessas notificações, deve descansar. Mas você também deve permanecer cauteloso e estar atento para ver se essas notificações se transformam em algo diferente de inofensivo para algum invasor.