تعرف على الحقيقة وراء هذه الإشعارات التي ظهرت فجأة
نحن نعتمد على إشعارات التطبيق لإبقائنا على اطلاع دائم بما يجري. تخيل أنك لم تتلق أي إشعارات وفقدت الأخبار المهمة والأشياء التي تعتمد عليها فيها. لكن الحصول على إشعارات غامضة يمكن أن يكون مقلقًا تمامًا مثل عدم تلقي أي إشعارات.
وقد تلقى الكثير من الأشخاص "رسائل FCM. اختبار الإخطار "أو إشعارات مماثلة من تطبيقات مثل Google Hangout و Microsoft Teams. لذلك من الطبيعي أن تكون قلقًا وفي نفس الوقت تشعر بالفضول حيال هذا اللغز. إذا كنت تفكر في ماهية هذه الأشياء ، أو لماذا تحصل عليها ، فتابع القراءة!
ما هو إخطار اختبار رسائل FCM
أبلغ الكثير من مستخدمي Android عن تلقي إشعارات رسائل FCM هذه التي تبدو كالتالي:
رسائل FCM
اختبار الإخطارات !!!
يظل عدد S في الإشعار متغيرًا. الآن ، تعد العلامات الإضافية وعلامات التعجب دليلاً كافياً على وجود شيء مريب حول هذه الإشعارات. ثم أضف عامل عدم حدوث أي شيء عند فتح التطبيق باستخدام هذه الإشعارات ؛ يتم فتح الواجهة العادية للتطبيق كما لو لم تفتح التطبيق من خلال هذا الإشعار. ليس هناك أثر لهم. إذن ، ما هؤلاء بالضبط؟
هذه الإشعارات ناتجة عن ثغرة أمنية في خدمة Firebase Cloud Messaging (FCM). Firebase عبارة عن نظام أساسي من Google يستخدمه المطورون لإنشاء تطبيقات للجوال والويب. تجدر الإشارة إلى أن العديد من التطبيقات تستخدم FCM لإرسال الإشعارات.
اكتشف أبهيشيك الظهراني ، المعروف أيضًا باسم "Abss" ، الثغرة الأمنية بعد البحث في ملفات APK لهذه التطبيقات. كشفت ملفات APK عن مفاتيح API الحساسة التي يمكن لأي شخص العثور عليها من خلال تصفح الملفات باستخدام مشط دقيق الأسنان. سمحت له الثغرة الأمنية بإرسال هذه الإشعارات إلى مستخدمي تطبيقات الأجهزة المحمولة مثل Hangout و Microsoft Teams و Google Play Music و YouTube وما إلى ذلك.
وبعد التلاعب بالشروط والتعبيرات المنطقية ، تمكنوا حتى من إرسال إشعارات للمستخدمين غير المشتركين لإشعارات هذه التطبيقات. حتى أن هناك تقارير تفيد بأن هذه الإخطارات كانت قادرة على تجاوز إعداد "ساعات الهدوء" في Microsoft Teams عندما لا ينبغي أن ترسل شركة PP من الناحية الفنية أي إخطارات.
ولكن هذا أمر جيد؟
نظرًا لأن هذه الإشعارات غير ضارة في الوقت الحالي ، فلا داعي للقلق كثيرًا. ولكن لا ضرر من توخي الحذر حيث يمكن لأي شخص أيضًا استخدام هذه الإشعارات لإرسال معلومات خاطئة وتنفيذ هجمات تصيد احتيالي واسعة النطاق.
تدرك Google بالفعل الثغرة الأمنية وتقوم بالتحقيق في الأمر. ليست هناك كلمة إقرار من Microsoft بشأن هذه المسألة حتى الآن.
تجدر الإشارة إلى أنه على الرغم من أن الإشعارات كانت جزءًا من POC (إثبات المفهوم) بواسطة Abhishek وفريقه ، يمكن لأي مهاجم ضار أيضًا إساءة استخدام الثغرة الأمنية في المستقبل حتى يتخذ المطورون إجراءً سريعًا ويفعلون شيئًا ما بشأن مفاتيح API المكشوفة.
الآن بعد أن عرفت السبب وراء هذه الإشعارات ، يجب أن يريح عقلك. ولكن يجب أيضًا أن تظل حذرًا وأن تراقب ما إذا كانت هذه الإشعارات تتحول إلى شيء غير ضار من قبل بعض المهاجمين.