갑자기 튀어나온 알림 뒤에 숨은 진실을 알아보십시오.
우리는 무슨 일이 일어나고 있는지 계속 알려주기 위해 앱 알림에 의존합니다. 알림을 받지 못하고 중요한 뉴스와 정보에 의존하는 정보를 놓쳤다고 상상해 보십시오. 하지만 알 수 없는 알림을 받는 것은 알림을 받지 못하는 것만큼이나 걱정스러울 수 있습니다.
그리고 많은 사람들이 "FCM 메시지. 테스트 알림' 또는 Google 행아웃 및 Microsoft Teams와 같은 앱의 유사한 알림입니다. 따라서 이 수수께끼에 대해 걱정하고 동시에 궁금해하는 것은 당연합니다. 이것이 무엇인지, 또는 왜 받는지 생각했다면 계속 읽으십시오!
FCM 메시지 테스트 알림이란 무엇입니까?
많은 Android 사용자가 다음과 같은 FCM 메시지 알림을 받았다고 보고했습니다.
FCM 메시지
테스트 알림!!!
알림에 있는 S의 수는 계속 변합니다. 이제 추가 s와 느낌표는 이러한 알림에 뭔가 수상한 점이 있다는 증거입니다. 그런 다음 이러한 알림을 사용하여 앱을 열 때 아무 일도 일어나지 않는다는 요소를 추가합니다. 이 알림을 통해 앱을 열지 않은 것처럼 앱의 일반 인터페이스만 열립니다. 그들의 흔적은 없습니다. 그렇다면 이것들은 정확히 무엇입니까?
이러한 알림은 Firebase FCM(클라우드 메시징) 서비스의 취약점으로 인해 발생합니다. Firebase는 개발자가 모바일 및 웹 앱을 만드는 데 사용하는 Google의 플랫폼입니다. 많은 앱이 FCM을 사용하여 알림을 제공한다는 점은 주목할 가치가 있습니다.
Abhishek Dharani(일명 'Abss')는 이러한 앱의 APK 파일을 조사한 후 취약점을 발견했습니다. APK 파일에는 가느다란 빗으로 파일을 훑어보면 누구나 찾을 수 있는 민감한 API 키가 노출되어 있었습니다. 취약점으로 인해 그는 행아웃, Microsoft Teams, Google Play 뮤직, YouTube 등과 같은 앱의 모바일 앱 사용자에게 이러한 알림을 보낼 수 있었습니다.
그리고 논리적인 조건과 표현을 수정한 후에 비구독자 사용자에게도 이러한 앱에 대한 알림을 보낼 수 있었습니다. 앱이 기술적으로 알림을 전달하지 않아야 할 때 이러한 알림이 Microsoft Teams의 '조용한 시간' 설정을 우회할 수 있다는 보고도 있습니다.
걱정할 것이 있습니까?
이러한 알림은 현재 무해하므로 너무 걱정할 필요가 없습니다. 그러나 누군가가 이러한 알림을 사용하여 잘못된 정보를 보내고 대량 피싱 공격을 수행할 수 있으므로 조심하는 것이 나쁠 것은 없습니다.
Google은 이미 취약점을 인지하고 있으며 문제를 조사하고 있습니다. 아직 이 문제에 대해 Microsoft에서 승인했다는 소식은 없습니다.
알림이 Abhishek과 그의 팀에 의한 POC(개념 증명)의 일부였더라도 악의적인 공격자는 개발자가 신속한 조치를 취하고 노출된 API 키에 대해 조치를 취할 때까지 미래에 취약점을 남용할 수 있다는 점에 주목할 가치가 있습니다.
이러한 알림 뒤에 있는 이유를 알았으니 이제 마음을 쉬어야 합니다. 그러나 이러한 알림이 일부 공격자에 의해 무해한 것이 아닌 다른 것으로 바뀌는 경우에도 조심해야 하며 경계해야 합니다.