比方说,某些攻击者能够为某些Firebase项目知道FCM“服务器密钥”(显示在“项目概述”->“设置”->“云消息传递”->“服务器密钥”中)。请注意,他仅学习了此密钥,但没有任何 FCM令牌。
仅使用此键,他可以进行哪些破坏性操作?特别是,他是否可以向安装了相应移动应用程序的所有移动设备发送推送通知? (即与该Firebase项目相对应)
根据Firebase documentation,在以下情况下可以向多个设备发送推送通知:
FCM令牌的分组:我们不必担心,因为攻击者不知道任何FCM令牌。
主题的使用:如果我们(即服务器)尚未为主题订阅任何设备,则我们也不必担心这种情况(因为攻击者无法指定想要发送的主题)。 / p>
因此,攻击者似乎无法将其发送到所有移动设备。我正确吗?
PS 。仅当攻击者无法为其服务器密钥检索所有FCM令牌的列表时,我的假设才是正确的。他真的做不到吗?
答案 0 :(得分:1)
攻击者可能会利用它尝试超过existing FCM limits,这可能会影响您成功发送消息的能力。即使您今天不使用主题消息,攻击者也可能会影响您将来有效使用主题消息的能力。