میں Hangouts اور Microsoft ٹیموں سے "FCM پیغامات کی جانچ کی اطلاع" کیوں حاصل کر رہا ہوں؟

نیلے رنگ سے پاپ آؤٹ ہونے والی ان اطلاعات کے پیچھے کی حقیقت جانیں۔

کیا ہو رہا ہے اس سے باخبر رہنے کے لیے ہم ایپ کی اطلاعات پر انحصار کرتے ہیں۔ تصور کریں کہ کیا آپ کو کوئی اطلاع موصول نہیں ہوئی اور آپ ان اہم خبروں اور چیزوں سے محروم ہو گئے جن پر آپ انحصار کرتے ہیں۔ لیکن پراسرار اطلاعات حاصل کرنا اتنا ہی پریشان کن ہوسکتا ہے جتنا کہ کوئی نہ ملنا۔

اور بہت سارے لوگوں کو "FCM پیغامات" مل رہے ہیں۔ Google Hangout اور Microsoft Teams جیسی ایپس سے ٹیسٹ نوٹیفکیشن" یا اس سے ملتی جلتی اطلاعات۔ تو یہ فطری بات ہے کہ آپ پریشان ہوں اور ساتھ ہی اس معمہ کے بارے میں متجسس بھی ہوں۔ اگر آپ سوچ رہے ہیں کہ یہ کیا ہیں، یا آپ انہیں کیوں حاصل کر رہے ہیں، تو پڑھیں!

FCM پیغامات ٹیسٹ نوٹیفکیشن کیا ہے؟

بہت سارے اینڈرائیڈ صارفین نے یہ FCM پیغامات کی اطلاعات موصول ہونے کی اطلاع دی ہے جو کچھ اس طرح نظر آتی ہیں:

FCM پیغامات

ٹیسٹ نوٹیفیکیشن!!!

نوٹیفکیشن میں S کی تعداد مختلف ہوتی رہتی ہے۔ اب، اضافی s اور فجائیہ کے نشانات اس بات کا ثبوت ہیں کہ ان اطلاعات میں کچھ گڑبڑ ہے۔ پھر یہ عنصر شامل کریں کہ جب آپ ان اطلاعات کا استعمال کرتے ہوئے ایپ کھولتے ہیں تو کچھ نہیں ہوتا ہے۔ بس ایپ کا عام انٹرفیس اس طرح کھلتا ہے جیسے آپ نے اس نوٹیفکیشن کے ذریعے ایپ کو نہیں کھولا تھا۔ ان کا کوئی سراغ نہیں ملتا۔ تو، یہ بالکل کیا ہیں؟

یہ اطلاعات Firebase Cloud Messaging (FCM) سروس میں کمزوری کا نتیجہ ہیں۔ Firebase گوگل کا ایک پلیٹ فارم ہے جسے ڈیولپرز موبائل اور ویب ایپس بنانے کے لیے استعمال کرتے ہیں۔ یہ بات قابل غور ہے کہ بہت سی ایپس اطلاعات کی فراہمی کے لیے FCM کا استعمال کرتی ہیں۔

ابھیشیک دھرانی، عرف 'Abss' نے ان ایپس کے لیے APK فائلوں کو کھودنے کے بعد اس کمزوری کو دریافت کیا۔ اے پی پی فائلوں نے حساس API کیز کو بے نقاب کیا جو کوئی بھی باریک دانت والی کنگھی سے فائلوں میں جاکر تلاش کرسکتا ہے۔ کمزوری نے اسے یہ اطلاعات ہینگ آؤٹ، مائیکروسافٹ ٹیمز، گوگل پلے میوزک، یوٹیوب وغیرہ کے موبائل ایپ صارفین کو بھیجنے کی اجازت دی۔

اور منطقی حالات اور تاثرات کے ساتھ چھیڑ چھاڑ کرنے کے بعد، وہ ان ایپس کے لیے نان سبسکرائبر صارفین کو اطلاعات بھیجنے کے قابل بھی تھے۔ یہاں تک کہ ایسی اطلاعات بھی ہیں کہ یہ اطلاعات مائیکروسافٹ ٹیموں میں 'خاموش اوقات' کی ترتیب کو نظرانداز کرنے کے قابل تھیں جب پی پی کو تکنیکی طور پر کوئی اطلاع نہیں دینا چاہئے۔

کیا فکر کرنے کی کوئی بات ہے؟

چونکہ یہ اطلاعات ابھی بے ضرر ہیں، اس لیے زیادہ پریشان ہونے کی ضرورت نہیں ہے۔ لیکن محتاط رہنے میں کوئی حرج نہیں ہے کیونکہ کوئی بھی ان اطلاعات کو غلط معلومات بھیجنے اور بڑے پیمانے پر فشنگ حملے کرنے کے لیے بھی استعمال کر سکتا ہے۔

گوگل پہلے ہی اس خطرے سے آگاہ ہے اور اس معاملے کی تحقیقات کر رہا ہے۔ اس معاملے پر مائیکروسافٹ کی طرف سے ابھی تک کوئی اعتراف نہیں کیا گیا ہے۔

یہ بات قابل غور ہے کہ اگرچہ اطلاعات ابھیشیک اور اس کی ٹیم کے POC (تصور کا ثبوت) کا حصہ تھیں، کوئی بھی بدنیتی پر مبنی حملہ آور مستقبل میں اس خطرے کا غلط استعمال بھی کر سکتا ہے جب تک کہ ڈویلپرز فوری کارروائی نہ کریں اور بے نقاب API کیز کے بارے میں کچھ نہ کریں۔

اب جب کہ آپ کو ان اطلاعات کے پیچھے کی وجہ معلوم ہو گئی ہے، اس سے آپ کے دماغ کو آرام کرنا چاہیے۔ لیکن آپ کو بھی محتاط رہنا چاہئے اور اس بات کی تلاش میں رہنا چاہئے کہ آیا یہ اطلاعات کسی حملہ آور کے ذریعہ بے ضرر ہونے کے علاوہ کسی اور چیز میں بدل جاتی ہیں۔