নীল থেকে পপ আউট এই বিজ্ঞপ্তির পিছনে সত্য জানুন
কী ঘটছে সে সম্পর্কে আমাদের লুপে রাখতে আমরা অ্যাপ বিজ্ঞপ্তির উপর নির্ভর করি। কল্পনা করুন যদি আপনি কোনো বিজ্ঞপ্তি না পান এবং আপনি যে গুরুত্বপূর্ণ খবর এবং জিনিসগুলির জন্য তাদের উপর নির্ভর করেন তা মিস করেন। কিন্তু রহস্যময় নোটিফিকেশন পাওয়া যেমন উদ্বেগজনক হতে পারে তেমনই কোনো না পাওয়া।
এবং অনেক লোক "FCM বার্তা" পাচ্ছেন। পরীক্ষা বিজ্ঞপ্তি” বা Google Hangout এবং Microsoft Teams এর মত অ্যাপ থেকে অনুরূপ বিজ্ঞপ্তি। সুতরাং এটি স্বাভাবিক যে আপনি চিন্তিত এবং একই সাথে এই রহস্য সম্পর্কে কৌতূহলী। আপনি যদি ভাবছেন এগুলি কী, বা কেন আপনি এগুলি পাচ্ছেন, পড়ুন!
FCM বার্তা পরীক্ষার বিজ্ঞপ্তি কি
অনেক অ্যান্ড্রয়েড ব্যবহারকারী এই FCM বার্তা বিজ্ঞপ্তিগুলি পাওয়ার কথা জানিয়েছেন যা দেখতে এইরকম:
FCM বার্তা
পরীক্ষার বিজ্ঞপ্তি!!!
বিজ্ঞপ্তিতে S এর সংখ্যা পরিবর্তিত হতে থাকে। এখন, অতিরিক্ত s এবং বিস্ময়বোধক চিহ্নগুলি যথেষ্ট প্রমাণ যে এই বিজ্ঞপ্তিগুলির মধ্যে কিছু অস্বস্তিকর রয়েছে৷ তারপর ফ্যাক্টর যোগ করুন যে আপনি এই বিজ্ঞপ্তিগুলি ব্যবহার করে অ্যাপ খুললে কিছুই হবে না; অ্যাপটির সাধারণ ইন্টারফেস এমনভাবে খোলে যেন আপনি এই বিজ্ঞপ্তির মাধ্যমে অ্যাপটি খুলেননি। তাদের কোন চিহ্ন নেই। তো, এগুলো ঠিক কী?
এই বিজ্ঞপ্তিগুলি Firebase ক্লাউড মেসেজিং (FCM) পরিষেবার একটি দুর্বলতার ফলাফল। Firebase হল Google এর একটি প্ল্যাটফর্ম যা ডেভেলপাররা মোবাইল এবং ওয়েব অ্যাপ তৈরি করতে ব্যবহার করে। এটি লক্ষণীয় যে অনেক অ্যাপ বিজ্ঞপ্তিগুলি সরবরাহ করতে FCM ব্যবহার করে।
অভিষেক ধরনি, ওরফে 'অ্যাবস', এই অ্যাপগুলির জন্য APK ফাইলগুলি খনন করার পরে দুর্বলতা আবিষ্কার করেছেন৷ APK ফাইলগুলি সংবেদনশীল API কীগুলিকে উন্মুক্ত করেছে যা যেকেউ একটি সূক্ষ্ম দাঁতের চিরুনি দিয়ে ফাইলগুলির মধ্য দিয়ে গিয়ে খুঁজে পেতে পারে৷ দুর্বলতা তাকে হ্যাঙ্গআউট, মাইক্রোসফ্ট টিমস, গুগল প্লে মিউজিক, ইউটিউব ইত্যাদি অ্যাপের মোবাইল অ্যাপ ব্যবহারকারীদের কাছে এই বিজ্ঞপ্তিগুলি পাঠানোর অনুমতি দেয়।
এবং যৌক্তিক শর্ত এবং অভিব্যক্তির সাথে টেঙ্কার করার পরে, তারা এমনকি নন-সাবস্ক্রাইবার ব্যবহারকারীদের কাছে এই অ্যাপগুলির জন্য বিজ্ঞপ্তি পাঠাতে সক্ষম হয়েছিল। এমনও রিপোর্ট রয়েছে যে এই বিজ্ঞপ্তিগুলি মাইক্রোসফ্ট টিমগুলিতে 'শান্ত ঘন্টা' সেটিং বাইপাস করতে সক্ষম হয়েছিল যখন pp প্রযুক্তিগতভাবে কোনও বিজ্ঞপ্তি সরবরাহ করবে না।
চিন্তা করার কিছু আছে কি?
যেহেতু এই বিজ্ঞপ্তিগুলি এখনই ক্ষতিকারক নয়, তাই খুব বেশি চিন্তা করার দরকার নেই। কিন্তু সতর্ক থাকার কোন ক্ষতি নেই কারণ কেউ এই বিজ্ঞপ্তিগুলি ব্যবহার করে মিথ্যা তথ্য পাঠাতে এবং ব্যাপক ফিশিং আক্রমণ চালাতে পারে।
Google ইতিমধ্যেই দুর্বলতা সম্পর্কে সচেতন এবং বিষয়টি তদন্ত করছে। মাইক্রোসফ্ট থেকে এখনও এই বিষয়ে কোনও স্বীকৃতির শব্দ নেই।
এটি লক্ষণীয় যে যদিও বিজ্ঞপ্তিগুলি অভিষেক এবং তার দলের একটি POC (ধারণার প্রমাণ) অংশ ছিল, তবুও যে কোনও দূষিত আক্রমণকারী ভবিষ্যতে দুর্বলতার অপব্যবহার করতে পারে যতক্ষণ না বিকাশকারীরা দ্রুত পদক্ষেপ নেয় এবং উন্মুক্ত API কীগুলির বিষয়ে কিছু না করে।
এখন যেহেতু আপনি এই বিজ্ঞপ্তিগুলির পিছনের কারণটি জানেন, এটি আপনার মনকে শান্ত রাখা উচিত। তবে আপনাকে সতর্ক থাকতে হবে এবং এই বিজ্ঞপ্তিগুলি আক্রমণকারীর দ্বারা ক্ষতিকারক ছাড়া অন্য কিছুতে পরিণত হয় কিনা সেদিকে নজর রাখা উচিত।