Tipik propaganda ve/veya gözdağı mesajı. Bu, her bir uygulamanın ayrı ayrı hacklenmesinden çok ortak bir servis üzerinden saldırının gerçekleştiğini düşündürüyor. Çoğu mobil uygulama Firebase Cloud Messaging (FCM), OneSignal gibi üçüncü taraf servisleri kullanıyor. Eğer:
API key yanlış konfigüre edilmişse (ör. client tarafında exposed edilirse), yetkilendirme kontrolleri zayıfsa, saldırgan bu key ile milyonlarca kullanıcıya push notification gönderebilir.
Geliştirici hesaplarına (Google Play Console, App Store Connect) erişim sağlansa, saldırgan uygulama içine kod sokabilir. Ama burada kod değişikliği yok, sadece bildirim var daha çok “notification panel / server” taraflı bir açık gibi görünüyor.
Ortak 3. Taraf Entegrasyon Açığı
Örneğin:
A/B test servisleri (Firebase Remote Config, Adjust, Mixpanel, Appsflyer), pazarlama otomasyonu araçları, push gateway’ler yanlış yapılandırılmış olabilir. Eğer bu servislerden biri sızdırıldıysa buna bağlı tüm markalardan aynı anda bildirim gönderilebilir.
Zafiyet Tipleri
API Key / Token Sızıntısı: En sık görülen. APK içinden veya Github repo’larından anahtar bulunabiliyor.
IDOR (Insecure Direct Object Reference): Yetki kontrolü zayıf olan notification endpoint’ine doğrudan erişim.
SSRF / Misconfigured Access: Push servisine backend üzerinden istek atılabiliyorsa, kötü niyetli payload gönderilebilir.
Phishing / Sosyal Mühendislik: Bazı durumlarda saldırganlar doğrudan ilgili servisin yönetici hesabını kandırarak oturum açabiliyor.
hizliresim.com
