Microsoft Teams-meldingspam legt Phishing-risico bloot

Volgens berichten uit de hele wereld kregen gebruikers van Microsoft Teams vandaag onverwachte meldingen op hun apparaten - wat tot enige bezorgdheid over mogelijke phishing heeft geleid.

Hoewel gebruikers hun ervaringen hebben gedeeld op Reddit , wijst een eerste analyse erop dat dit in verband kan worden gebracht met een onlangs gepubliceerde kwetsbaarheid in Google's Firebase Cloud Messaging (FCM) platform.

De kwetsbaarheid werd ontdekt door beveiligingsonderzoeker Abhishek Dharani en maakt het mogelijk de FCM-sleutels die zijn opgeslagen in APK-bestanden te misbruiken om berichten uit te zenden naar iedereen die een Firebase-gebaseerde toepassing gebruikt.

De schijnbaar onschuldige berichten van vandaag luiden gewoon "Testmelding!", maar volgens Abss kan de kwetsbaarheid een veel reëler gevaar vormen voor phishing of malware als ze door kwaadwillende aanvallers wordt misbruikt.

Hij vertelde CyberNews : "Pas op dat de inhoud van de melding kan worden gecontroleerd door de aanvaller. Het kan ook afbeeldingen bevatten (ja, ook grafische en verontrustende afbeeldingen), dus pas op voor de inhoud en volg geen links."

Op het moment van schrijven is het niet duidelijk of deze berichten zijn geschreven door de Google/Microsoft-teams of dat het een nieuwsgierige onderzoeker of hacker van een derde partij was.

Eerder in de week zagen gebruikers van Google Hangouts een aantal soortgelijke " FCM-berichten" testmeldingen verzonden bij een soortgelijk incident.

Volgens de Firebase blog , zijn er maandelijks meer dan 2 miljoen apps actief die Firebase gebruiken. Abhishek vertelde CyberNews dat er veel app-ontwikkelaars zijn met Firebase-projecten waarvan de apps nog steeds kunnen worden getroffen, met gemakkelijk 15% van de bestaande apps die mogelijk kwetsbaar zijn.

Een zorgwekkende vraag voor velen zou kunnen zijn welke dienst als volgende zal worden getroffen?

Vis waar de vis zit.

Dit incident zou als waarschuwing moeten dienen voor elke organisatie die nieuwe messagingplatforms inzet. Cloud-gebaseerde diensten zoals Microsoft Teams en Slack groeien sneller dan ooit nu organisaties overschakelen op meer flexibele werkregelingen voor de lange termijn.

Als deze berichten een kwaadaardige link bevatten, zouden alleen beveiligingsinstrumenten voor eindpunten en gebruikers kunnen voorkomen dat een aanval schade aanricht. Phishing of andere social engineering-aanvallen zouden een soortgelijk aanvalskanaal kunnen volgen. Ik geloof echter graag dat een regelmatige en effectieve phishing-bewustmakingstraining werknemers kan helpen om voorzichtig genoeg te zijn om zelfs nieuwe bedreigingen zoals deze te wantrouwen.

De high-profile Twitter bitcoin heist van juli heeft laten zien wat aanvallers kunnen doen als ze de kans krijgen om nietsvermoedende gebruikers van consumentendiensten massaal te benaderen. In dit geval zullen velen zich gelukkig prijzen dat er geen sprake was van kwaadaardige payload, social engineering of diefstal.

Dit is niet de eerste keer dat Firebase om de verkeerde redenen in het nieuws komt. In juli werd een rechtszaak aangespannen waarin Google werd beschuldigd van het schenden van federale afluisterwetgeving en de Californische privacywetgeving. Er wordt beweerd dat de gegevensverzameling gebeurt via Google's Firebase, ondanks het feit dat gebruikers Google's instructies opvolgen om de door het bedrijf verzamelde web- en app-activiteit uit te schakelen.

Microsoft gaf later op de dag via Twitter een reactie aan klanten. Het luidde: "We hebben de bron van het probleem geïsoleerd en een mitigatie toegepast. We hebben bevestigd dat er geen onverwachte meldingen meer worden verzonden naar de Android-apparaten van gebruikers. Aanvullende details zijn te vinden in het beheercentrum onder TM221041."