1. TugaTech » Software » Noticias de Software

Siga-nos

Google notificações

 

Faz pouco mais de dez dias que uma falha foi descoberta sobre o envio de notificações do Google Firebase Cloud Messaging (FCM), uma plataforma da Google implementada em algumas aplicações para enviar mensagens push aos utilizadores – notificações.

 

Este sistema é usado em apps como o Google Hangouts e Google Music, entre centenas de outras apps individuais. O investigador Abhishek Dharani, no entanto, descobriu uma falha no sistema que permitia recolher as chaves de autorização das apps que usam FCM, possibilitando a qualquer um enviar mensagens de notificação em nome dessas aplicações.

 

A falha foi reportada à Google, que recompensou o investigador em cerca de 30.000 dólares pela descoberta. No entanto, parece que nem tudo ficou corretamente resolvido.

Recentemente vários utilizadores têm vindo a reportar receber mensagens estranhas de plataformas como o Google Hangouts e várias outras apps que usam o serviço do FCM, no que parece ser exatamente a exploração de alguma vulnerabilidade para o envio de spam.

 

O investigador afirma que, depois de ter fornecido a correção à Google, e de a empresa ter confirmado a falha, outra entidade terá aproveitado a mesma falha antes que a empresa fosse capaz de a corrigir, enviando mensagens de spam para os utilizadores.

Foi também referido que a Google não terá responsabilidade direta sobre todos os problemas, já que para se explorar esta vulnerabilidade, é necessário recolher uma chave de autorização privada – a qual a própria empresa recomenda que os programadores mantenham de forma segura.

 

Se essa chave privada for do conhecimento publico (o que pode acontecer), então não existe nada que a Google possa realizar para impedir o envio de mensagens de spam pelo sistema, mesmo que a vulnerabilidade inicialmente descoberta seja corrigida.

Será da responsabilidade dos programadores das apps gerarem novas chaves do Firebase e aplicarem as mesmas nas suas apps.

 

Ainda assim, a falha parece ter sido suficientemente grave para até as apps oficiais da Google serem afetadas – algo que certamente a empresa já terá corrigido, visto que as anteriores chaves privadas da empresa parecem ter sido comprometidas.







Aplicações do TugaTechAplicações TugaTechDiscord do TugaTechDiscord do TugaTechRSS TugaTechRSS do TugaTechSpeedtest TugaTechSpeedtest TugatechHost TugaTechHost TugaTech