Pelajari kebenaran di balik pemberitahuan ini yang muncul tiba-tiba
Kami mengandalkan notifikasi aplikasi untuk membuat kami tetap mengetahui apa yang terjadi. Bayangkan jika Anda tidak menerima pemberitahuan apa pun dan melewatkan berita penting dan hal-hal yang Anda andalkan. Tetapi mendapatkan notifikasi misterius bisa sama mengkhawatirkannya dengan tidak mendapatkannya.
Dan banyak orang telah mendapatkan “Pesan FCM. Test Notification” atau notifikasi serupa dari aplikasi seperti Google Hangout dan Microsoft Teams. Jadi wajar jika Anda khawatir dan, pada saat yang sama, ingin tahu tentang teka-teki ini. Jika Anda sudah memikirkan apa ini, atau mengapa Anda mendapatkannya, baca terus!
Apa itu Pemberitahuan Uji Pesan FCM
Banyak pengguna Android telah melaporkan mendapatkan pemberitahuan Pesan FCM yang terlihat seperti ini:
Pesan FCM
Test Notificationss!!!
Jumlah S dalam notifikasi terus bervariasi. Sekarang, tambahan s dan tanda seru adalah bukti yang cukup bahwa ada sesuatu yang mencurigakan tentang pemberitahuan ini. Kemudian tambahkan faktor bahwa tidak ada yang terjadi saat Anda membuka aplikasi menggunakan notifikasi ini; hanya antarmuka normal aplikasi yang terbuka seolah-olah Anda belum membuka aplikasi melalui notifikasi ini. Tidak ada jejak mereka. Jadi, apa sebenarnya ini?
Notifikasi ini adalah akibat dari kerentanan di Layanan Firebase Cloud Messaging (FCM). Firebase adalah platform oleh Google yang digunakan pengembang untuk membuat aplikasi seluler dan web. Perlu dicatat bahwa banyak aplikasi menggunakan FCM untuk mengirimkan notifikasi.
Abhishek Dharani, alias 'Abss', menemukan kerentanan setelah menggali file APK untuk aplikasi ini. File APK mengekspos kunci API sensitif yang dapat ditemukan siapa pun dengan menelusuri file dengan sisir gigi halus. Kerentanan memungkinkan dia untuk mengirimkan pemberitahuan ini ke pengguna aplikasi seluler dari aplikasi seperti Hangout, Microsoft Teams, Google Play Musik, YouTube, dll.
Dan setelah mengutak-atik kondisi dan ekspresi logis, mereka bahkan dapat mengirim pemberitahuan kepada pengguna non-pelanggan ke pemberitahuan untuk aplikasi ini. Bahkan ada laporan bahwa pemberitahuan ini dapat melewati pengaturan 'jam tenang' di Microsoft Teams ketika pp secara teknis seharusnya tidak mengirimkan pemberitahuan apa pun.
Apakah Ada Yang Perlu Dikhawatirkan?
Karena notifikasi ini tidak berbahaya saat ini, tidak perlu terlalu khawatir. Namun tidak ada salahnya untuk berhati-hati karena seseorang juga dapat menggunakan notifikasi tersebut untuk mengirimkan informasi palsu dan melakukan serangan phishing massal.
Google sudah mengetahui kerentanan dan sedang menyelidiki masalah ini. Belum ada pengakuan dari Microsoft tentang masalah ini.
Perlu dicatat bahwa meskipun pemberitahuan adalah bagian dari POC (bukti konsep) oleh Abhishek dan timnya, penyerang jahat mana pun juga dapat menyalahgunakan kerentanan di masa mendatang hingga pengembang mengambil tindakan cepat dan melakukan sesuatu tentang kunci API yang terbuka.
Sekarang setelah Anda mengetahui alasan di balik pemberitahuan ini, Anda harus beristirahat. Tetapi Anda juga harus tetap berhati-hati dan waspada jika pemberitahuan ini berubah menjadi sesuatu yang tidak berbahaya oleh beberapa penyerang.