¿Por qué recibo "Notificación de prueba de mensajes FCM" de Hangouts y Microsoft Teams?

Conozca la verdad detrás de estas notificaciones que aparecieron de la nada

Confiamos en las notificaciones de la aplicación para mantenernos al tanto de lo que está sucediendo. Imagínese si no recibiera ninguna notificación y se perdiera las noticias importantes y las cosas en las que confía. Pero recibir notificaciones misteriosas puede ser tan preocupante como no recibirlas.

Y mucha gente ha recibido “Mensajes FCM. Notificación de prueba ”o notificaciones similares de aplicaciones como Google Hangout y Microsoft Teams. Así que es natural que estés preocupado y, al mismo tiempo, curioso por este enigma. Si ha estado pensando qué son estos o por qué los está obteniendo, ¡siga leyendo!

¿Qué es la notificación de prueba de mensajes FCM?

Muchos usuarios de Android han informado recibir estas notificaciones de mensajes FCM que se parecen a esto:

Mensajes de FCM

Notificaciones de prueba

El número de S en la notificación sigue variando. Ahora, las s adicionales y los signos de exclamación son evidencia suficiente de que hay algo sospechoso en estas notificaciones. Luego agregue el factor de que no sucede nada cuando abre la aplicación usando estas notificaciones; solo se abre la interfaz normal de la aplicación como si no la hubiera abierto a través de esta notificación. No hay rastro de ellos. Entonces, ¿qué son exactamente estos?

Estas notificaciones son el resultado de una vulnerabilidad en el servicio Firebase Cloud Messaging (FCM). Firebase es una plataforma de Google que los desarrolladores utilizan para crear aplicaciones web y móviles. Vale la pena señalar que muchas aplicaciones usan FCM para enviar notificaciones.

Abhishek Dharani, también conocido como "Abss", descubrió la vulnerabilidad después de buscar en los archivos APK de estas aplicaciones. Los archivos APK expusieron claves API sensibles que cualquiera podría encontrar revisando los archivos con un peine de dientes finos. La vulnerabilidad le permitió enviar estas notificaciones a los usuarios de aplicaciones móviles de aplicaciones como Hangout, Microsoft Teams, Google Play Music, YouTube, etc.

Y después de jugar con las condiciones y expresiones lógicas, incluso pudieron enviar notificaciones a los usuarios no suscriptores a las notificaciones de estas aplicaciones. Incluso hay informes de que estas notificaciones pudieron omitir la configuración de "horas tranquilas" en Microsoft Teams cuando el pp técnicamente no debería entregar ninguna notificación.

¿Hay algo de qué preocuparse?

Como estas notificaciones son inofensivas en este momento, no hay necesidad de preocuparse demasiado. Pero no hay nada de malo en tener cuidado, ya que alguien también puede usar estas notificaciones para enviar información falsa y llevar a cabo ataques de phishing masivos.

Google ya es consciente de la vulnerabilidad y está investigando el asunto. Todavía no hay una palabra de reconocimiento de Microsoft al respecto.

Vale la pena señalar que, aunque las notificaciones fueron parte de una POC (prueba de concepto) de Abhishek y su equipo, cualquier atacante malintencionado también puede abusar de la vulnerabilidad en el futuro hasta que los desarrolladores tomen medidas rápidas y hagan algo con las claves de API expuestas.

Ahora que conoce la razón detrás de estas notificaciones, debería descansar su mente. Pero también debe ser cauteloso y estar atento a si estas notificaciones se convierten en algo que no sea inofensivo por parte de algún atacante.