เมื่อวานนี้ผู้ใช้แอป Microsoft Teams จำนวนมากได้รับ notification ประหลาด ข้อความจำนวนมากระบุว่าเป็นการทดสอบ วันนี้ทางเว็บ The Register ก็พูดคุยกับ Abhishek Dharani นักวิจัยความปลอดภัยที่เพิ่งรายงานช่องโหว่กุญแจ Firebase Cloud Messaging (FCM) หลุดไปกับตัวแอป โดย Dharani คาดว่ามีคนอื่นอ่านรายงานช่องโหว่ของเขาแล้วนำไปทดสอบกับแอปอื่นๆ

ช่องโหว่นี้เป็นช่องโหว่ของแอปที่เก็บรักษากุญแจ FCM ผิดพลาด โดยติดกุญแจไปกับตัวแอปจนคนร้ายสามารถดึงออกมาจากไฟล์ APK บนแอนดรอยด์ได้ แม้แต่กูเกิลเองก็พลาดในเรื่องนี้จน Dharani สามารถดึงกุญแจสำหรับแอป Google Hangouts และ Google Play Music ออกมาได้ ทำให้กูเกิลจ่ายเงินรางวัลสำหรับรายงานช่องโหว่ถึง 30,000 ดอลลาร์

ไมโครซอฟท์ไม่ได้ออกมาตอบรับอะไรนักนอกจากตอบผู้ใช้ว่าไม่ต้องสนใจข้อความแจ้งเตือนเหล่านี้ และแจ้งไปยัง The Register ว่าได้แก้ไขปัญหาแล้ว โดยไม่ได้ยืนยันว่าไปช่องโหว่กุญแจ FCM หลุดจริงหรือไม่

ที่มา - The Register

ภาพแผนผังการส่งข้อความของ FCM จากเอกสาร Xamarin