Faz pouco mais de dez dias que uma falha foi descoberta sobre o envio de notificações do Google Firebase Cloud Messaging (FCM), uma plataforma da Google implementada em algumas aplicações para enviar mensagens push aos utilizadores – notificações.
Este sistema é usado em apps como o Google Hangouts e Google Music, entre centenas de outras apps individuais. O investigador Abhishek Dharani, no entanto, descobriu uma falha no sistema que permitia recolher as chaves de autorização das apps que usam FCM, possibilitando a qualquer um enviar mensagens de notificação em nome dessas aplicações.
A falha foi reportada à Google, que recompensou o investigador em cerca de 30.000 dólares pela descoberta. No entanto, parece que nem tudo ficou corretamente resolvido.
Recentemente vários utilizadores têm vindo a reportar receber mensagens estranhas de plataformas como o Google Hangouts e várias outras apps que usam o serviço do FCM, no que parece ser exatamente a exploração de alguma vulnerabilidade para o envio de spam.
O investigador afirma que, depois de ter fornecido a correção à Google, e de a empresa ter confirmado a falha, outra entidade terá aproveitado a mesma falha antes que a empresa fosse capaz de a corrigir, enviando mensagens de spam para os utilizadores.
Foi também referido que a Google não terá responsabilidade direta sobre todos os problemas, já que para se explorar esta vulnerabilidade, é necessário recolher uma chave de autorização privada – a qual a própria empresa recomenda que os programadores mantenham de forma segura.
Se essa chave privada for do conhecimento publico (o que pode acontecer), então não existe nada que a Google possa realizar para impedir o envio de mensagens de spam pelo sistema, mesmo que a vulnerabilidade inicialmente descoberta seja corrigida.
Será da responsabilidade dos programadores das apps gerarem novas chaves do Firebase e aplicarem as mesmas nas suas apps.
Ainda assim, a falha parece ter sido suficientemente grave para até as apps oficiais da Google serem afetadas – algo que certamente a empresa já terá corrigido, visto que as anteriores chaves privadas da empresa parecem ter sido comprometidas.
Nenhum comentário
Seja o primeiro!