Notifiche Anomale su Dispositivi Android/iOS
08/27/2020
Proto: N060820.
Con la presente Yoroi desidera informarla riguardo alla recente diffusione di notifiche anomale su dispositivi Android e iOS. In particolare, il fenomeno è relativo alla comparsa di notifiche push con contenuti insoliti legati a varie applicazioni come Microsoft Teams e Google Hangouts.
Figura. Esempi di notifiche ricevute da utenti in questi giorni (Source:Code2Care)
Le notifiche sono state osservate da numerosi utenti in tutto mondo e sono legate ad una serie di tentativi di abuso di una problematica su Firebase Cloud Messaging (FCM), piattaforma di gestione delle notifiche push per dispositivi Android e iOS, utilizzata da un grande numero di applicazioni mobile.
Alcuni ricercatori indipendenti sono riusciti ad ottenere i Token API applicativi di FCM custoditi in maniera insicura all’interno delle applicazioni mobile, ed hanno dimostrato la possibilità di abusarne per inviare notifiche arbitrarie agli utenti delle app.
Figura. Esempio di funzionamento della piattaforma Firebase
Al momento, i messaggi di notifica anomali osservati sono riconducibili a test innocui. Tuttavia, la diffusione della problematica, gli elevati volumi di utenti potenzialmente interessati e la disponibilità di dettagli tecnici a riguardo, rappresentano uno scenario di rischio in quanto gruppi cyber-criminali possono decidere di veicolare messaggi ingannevoli agli utenti tramite il canale di notifica ufficiale delle applicazioni mobile afflitte, con finalità di phishing, installazione malware o frode. A questo proposito Yoroi consiglia di aggiornare il parco applicazioni mobile aziendale e valutare l’aumento della frequenza degli aggiornamenti nei prossimi mesi.
Qualora invece la Vostra organizzazione utilizzi o mantenga applicazioni mobile Android sviluppate “in-house” basate sulla piattaforma Firebase Cloud Messaging, Yoroi consiglia di appurare le modalità di utilizzo e archiviazione dei relativi Token API, valutando l’aggiornamento delle versioni token “FCM Legacy Server key” ed assicurandosi che il Token sia fornito all’applicazione client dai servizi di backend.
Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index
