Découvrez la vérité derrière ces notifications qui ont surgi à l'improviste
Nous comptons sur les notifications d'applications pour nous tenir au courant de ce qui se passe. Imaginez si vous ne receviez aucune notification et manquiez les nouvelles importantes et les choses pour lesquelles vous comptez sur elles. Mais recevoir des notifications mystérieuses peut être tout aussi inquiétant que de ne pas en recevoir.
Et beaucoup de gens ont reçu des « Messages FCM. Tester la notification" ou des notifications similaires provenant d'applications telles que Google Hangout et Microsoft Teams. Il est donc naturel que vous soyez inquiet et, en même temps, curieux de cette énigme. Si vous avez réfléchi à ce que c'est ou pourquoi vous les obtenez, lisez la suite !
Qu'est-ce que la notification de test des messages FCM
De nombreux utilisateurs d'Android ont signalé avoir reçu ces notifications de messages FCM qui ressemblent à ceci :
Messages du FCM
Testez les notifications !!!
Le nombre de S dans la notification ne cesse de varier. Maintenant, les s supplémentaires et les points d'exclamation sont une preuve suffisante qu'il y a quelque chose de louche dans ces notifications. Ajoutez ensuite le facteur que rien ne se passe lorsque vous ouvrez l'application à l'aide de ces notifications ; seule l'interface normale de l'application s'ouvre comme si vous n'aviez pas ouvert l'application via cette notification. Il n'y a aucune trace d'eux. Alors, qu'est-ce que c'est exactement ?
Ces notifications sont le résultat d'une vulnérabilité dans le service Firebase Cloud Messaging (FCM). Firebase est une plate-forme de Google que les développeurs utilisent pour créer des applications mobiles et Web. Il convient de noter que de nombreuses applications utilisent FCM pour envoyer des notifications.
Abhishek Dharani, alias « Abss », a découvert la vulnérabilité après avoir fouillé les fichiers APK de ces applications. Les fichiers APK exposaient des clés API sensibles que n'importe qui pouvait trouver en parcourant les fichiers avec un peigne fin. La vulnérabilité lui a permis d'envoyer ces notifications aux utilisateurs d'applications mobiles comme Hangout, Microsoft Teams, Google Play Music, YouTube, etc.
Et après avoir bricolé les conditions et expressions logiques, ils ont même pu envoyer des notifications aux utilisateurs non abonnés aux notifications de ces applications. Il existe même des rapports selon lesquels ces notifications ont pu contourner le paramètre « heures de silence » dans Microsoft Teams lorsque le pp ne devrait techniquement fournir aucune notification.
Y a-t-il quelque chose à s'inquiéter?
Comme ces notifications sont inoffensives pour le moment, il n'y a pas lieu de trop s'inquiéter. Mais il n'y a aucun mal à être prudent car quelqu'un peut également utiliser ces notifications pour envoyer de fausses informations et mener des attaques de phishing de masse.
Google est déjà au courant de la vulnérabilité et enquête sur la question. Il n'y a pas encore de mot de reconnaissance de Microsoft à ce sujet.
Il convient de noter que même si les notifications faisaient partie d'un POC (preuve de concept) d'Abhishek et de son équipe, tout attaquant malveillant peut également abuser de la vulnérabilité à l'avenir jusqu'à ce que les développeurs prennent des mesures rapides et fassent quelque chose à propos des clés API exposées.
Maintenant que vous connaissez la raison de ces notifications, cela devrait vous rassurer. Mais vous devez également rester prudent et être à l'affût si ces notifications se transforment en quelque chose d'autre qu'inoffensif par un attaquant.