Fecha de publicación: 17/08/2020
Abhishek Dharani segurtasun-ikertzaileak, Abss izenez ere ezaguna, Firebase Cloud Messaging (FCM) sistemaren ahultasun batekin erlazionatutako ikerketa bat argitaratu du bere blogean. Android, iOS eta web aplikazioetako mezu eta jakinarazpenetarako baliabide bat da sistema hori, lainoan funtzionatzen du, eta Firebase erakundearen jabetzakoa da, Googleren subsidiarioa.
Akatsak FCM plataforman garatu ziren mugikor aplikazioei eragin zien. Erasotzaileek aukera izan zuten aplikazioaren erabiltzaile guztiei jakinarazpen automatikoak bidaltzeko, harpidetuta egon zein ez.
Abss ikertzailea ohartu zen hainbat Android aplikazioren kodeek klabe bereziak zituztela, FCM zerbitzuak mezuak baimentzeko egiaztatzen dituenak. Gako horrekin, erasotzaileak jakinarazpen automatikoak sortu zitzakeen, eta gero kaltetutako aplikazioaren erabiltzaileei bidali, edozein edukirekin. Klabeak erakusgai egon badira, zerbitzaritik ezabatu behar dira, eta beste batzuk sortu.
Etiketak: Android, Aplikazioa, Apple, Google, Tresna, Internet, Ahultasuna.
Erreferentziak:
Erreferentzia | WEB | URL | Data | Externo | Idioma destino | Idioma contenido |
---|---|---|---|---|---|---|
Firebase Cloud Messaging Service Takeover: A small research that led to 30k$ in bounties | abss.me | https://abss.me/posts/fcm-takeover/ | 17/08/2020 | si | en | en |
Google Firebase messaging vulnerability allowed attackers to send push notifications to app users | portswigger.net | https://portswigger.net/daily-swig/google-firebase-messaging-vulnerability-allowed-attackers-to-send-push-notifications-to-app-users | 19/08/2020 | si | en | en |
Exposed FCM keys leaves billions of users open to mass spam and phishing notifications | cybernews.com | https://cybernews.com/security/exposed-google-keys-leaves-billions-of-users-open-to-mass-spam-and-phishing-notifications/ | 25/08/2020 | si | en | en |
Fake Android notifications ? first Google, then Microsoft affected | nakedsecurity.sophos.com | https://nakedsecurity.sophos.com/2020/08/28/fake-android-notifications-first-google-then-microsoft-affected/ | 28/08/2020 | si | en | en |