Ist Google schuld? 28.08.2020, 12:04 Uhr

Microsoft Teams nervte Android-User mit «FCM Messages Test Notifications»

Auch in der PCtipp-Redaktion sind sie gestern aufgeschlagen: Dutzende merkwürdige «FCM Messages» von Microsofts Kommunikationsplattform Teams. Microsoft sagt darüber: fast gar nichts.
Android- und Teams-Nutzende haben viele solche Benachrichtigungen erhalten.
(Quelle: PCtipp.ch)
Der erste Blick aufs Handy führte bei der Autorin am Donnerstagmorgen zu einem spontanen Stirnrunzeln: Das Display zeigte mehrere Benachrichtigungen von Teams, Microsofts bislang so gepriesende Chat- und Videotelefonie-App. Der Inhalt der Benachrichtigungen: «FCM Messages Test Notifications!!!!», in Schreibweisen mit unterschiedlicher Anzahl Ausrufezeichen.
Eine schnelle Websuche ergab, dass es kein lokales Problem war. Auf Reddit meldeten sich hunderte Nutzer:innen – buchstäblich aus der ganzen Welt – die ebenfalls diese Benachrichtigungen erhalten haben. Wer sein Handy über Nacht nicht stummgeschaltet oder offline gesetzt hat, wurde je nach Zeitzone durch das Gebimmel aus dem Schlaf gerissen.
MS-Teams-Nutzende unter Android waren offenbar nicht die ersten, die in den Genuss solcher Benachrichtigungen kamen. Drei Tage zuvor hatte es laut Androidpolice jene getroffen, die auf ihren Android-Geräten Google Hangouts installiert hatten.
Dass dasselbe Problem im Abstand weniger Tage erst Hangouts-, danach Teams-Nutzende nervt, macht klar: Es handelt sich nicht um ein isoliertes Problem in einem der beiden Produkte, sondern in einem von beiden Diensten genutzten Modul. Jenes heisst «Firebase Cloud Messaging» und stammt von Google. Diesen Sommer hatten Sicherheitsexperten darin eine Sicherheitslücke entdeckt und gemeldet, was dem Entdecker der Lücke offenbar einen Fehlerfinderlohn (Bug Bounty) von 30'000 US-Dollar einbrachte. Es dürfte diese Lücke sein, die auch für diese Benachrichtigungen ausgenutzt wurde.
Microsoft zeigte sich trotz der unzähligen Rückfragen von besorgten und genervten Nutzenden bedeckt, was den Umgang mit den störenden Nachrichten betraf. Auf Twitter beantwortete der Softwaregigant die Frage nach dem Grund für diese «FCM Messages» mit einem Standardtext, der auf eine Meldung mit der ID «TM221041» hinwies. Pikanterweise war (und ist weiterhin) diese Information nur für jene zugänglich, die im Besitz eines Administrator-Zugangs zu Teams sind. Man sei dabei, die Ursachen zu finden.
Ein verlagsinterner Teams-Admin hat für uns freundlicherweise einen Screenshot der ominösen Information «TM221041» gemacht:
Die einzige «offizielle» Info war hinter einem Zugangsportal für Teams-Admins versteckt
Quelle: NMGZ/Microsoft
Am Abend erreichte die User eine zweite FCM-Messages-Welle. Die Texte lauteten nun alle gleich, inkl. einem Schreibfehler: «FCM Messages Testing notifcation from Microsoft to investigate the problem».
Die zweite Welle der Benachrichtigungen
Quelle: PCtipp.ch
Danach war wirklich Schluss mit dem Gebimmel. Auf Twitter hat Microsoft Teams ihre Standardantwort geändert: «Unser Team hat die Quelle dieses Problems isoliert und eine Entschärfung vorgenommen». Man bestätige ausserdem, dass keine weiteren solchen Benachrichtigungen mehr an Android-Nutzende gesendet würden. Auch diesmal wieder mit einem Verweis auf die ominöse Meldung TM221041, die nur für Teams-Admins zugänglich ist.
Einige Fragen bleiben für den Moment offen. Gab oder gibt es in dieser Schwachstelle weitere Lücken, an denen ein Angreifer seinen Hebel ansetzen könnte – oder waren die Benachrichtigungen das einzige (sichtbare) Symptom? Warum spricht Microsoft von «Mitigation» (Milderung/Entschärfung) und nicht von einem «Fix» (Behebung) der Lücke? Vielleicht erfahren wir das, wenn die nächste Welle mit unerwünschten Benachrichtigungen eine nächste App treffen wird.



Kommentare
Es sind keine Kommentare vorhanden.