Ketahui kebenaran di sebalik pemberitahuan ini yang muncul secara tiba-tiba
Kami bergantung pada pemberitahuan apl untuk memastikan kami sentiasa mengetahui tentang perkara yang berlaku. Bayangkan jika anda tidak menerima sebarang pemberitahuan dan terlepas berita dan perkara penting yang anda bergantung padanya. Tetapi mendapat pemberitahuan misteri boleh membimbangkan sama seperti tidak mendapat apa-apa.
Dan ramai orang telah mendapat "Mesej FCM. Pemberitahuan Ujian" atau pemberitahuan serupa daripada apl seperti Google Hangout dan Microsoft Teams. Jadi wajarlah anda bimbang dan, pada masa yang sama, ingin tahu tentang enigma ini. Jika anda telah memikirkan apakah ini, atau mengapa anda mendapatkannya, baca terus!
Apakah itu Pemberitahuan Ujian Mesej FCM
Ramai pengguna Android telah melaporkan menerima pemberitahuan FCM Messages ini yang kelihatan seperti ini:
Mesej FCM
Ujian Notificationsss!!!
Bilangan S dalam pemberitahuan sentiasa berubah-ubah. Kini, s dan tanda seru tambahan adalah cukup bukti bahawa terdapat sesuatu yang mencurigakan tentang pemberitahuan ini. Kemudian tambahkan faktor bahawa tiada apa yang berlaku apabila anda membuka apl menggunakan pemberitahuan ini; hanya antara muka biasa apl dibuka seolah-olah anda tidak membuka aplikasi melalui pemberitahuan ini. Tiada jejak mereka. Jadi, apakah sebenarnya ini?
Pemberitahuan ini adalah hasil daripada kerentanan dalam Perkhidmatan Pemesejan Awan Firebase (FCM). Firebase ialah platform oleh Google yang digunakan oleh pembangun untuk membuat apl mudah alih dan web. Perlu diingat bahawa banyak apl menggunakan FCM untuk menyampaikan pemberitahuan.
Abhishek Dharani, a.k.a. 'Abss', menemui kelemahan selepas menggali fail APK untuk apl ini. Fail APK mendedahkan kunci API sensitif yang boleh ditemui sesiapa sahaja dengan meneliti fail dengan sikat gigi halus. Kerentanan itu membolehkannya menghantar pemberitahuan ini kepada pengguna apl mudah alih apl seperti Hangouts, Microsoft Teams, Google Play Music, YouTube, dsb.
Dan selepas memikirkan keadaan dan ungkapan logik, mereka juga dapat menghantar pemberitahuan kepada pengguna bukan pelanggan kepada pemberitahuan untuk apl ini. Malah terdapat laporan bahawa pemberitahuan ini dapat memintas tetapan 'waktu senyap' dalam Microsoft Teams apabila pp secara teknikal tidak sepatutnya menyampaikan sebarang pemberitahuan.
Adakah terdapat apa-apa yang perlu dirisaukan?
Memandangkan pemberitahuan ini tidak berbahaya sekarang, tidak perlu terlalu risau. Tetapi tidak ada salahnya untuk berhati-hati kerana seseorang juga boleh menggunakan pemberitahuan ini untuk menghantar maklumat palsu dan melakukan serangan pancingan data secara besar-besaran.
Google sudah pun menyedari kelemahan itu dan sedang menyiasat perkara itu. Tiada kata pengakuan daripada Microsoft mengenai perkara itu lagi.
Perlu diingat bahawa walaupun pemberitahuan itu adalah sebahagian daripada POC (bukti konsep) oleh Abhishek dan pasukannya, mana-mana penyerang berniat jahat juga boleh menyalahgunakan kelemahan pada masa hadapan sehingga pembangun mengambil tindakan pantas dan melakukan sesuatu tentang kunci API yang terdedah.
Sekarang setelah anda mengetahui sebab di sebalik pemberitahuan ini, ia sepatutnya menenangkan fikiran anda. Tetapi anda juga harus sentiasa berhati-hati dan berwaspada jika pemberitahuan ini bertukar menjadi sesuatu yang tidak berbahaya oleh sesetengah penyerang.