Pułapka w powiadomieniach Androida — ukryte znaki mogą modyfikować linki w powiadomieniach
Badacz bezpieczeństwa Gabriele Digregorio w szczegółowym wpisie na blogu wyjaśnił, w jaki sposób można manipulować przyciskiem “Otwórz link” w powiadomieniach Androida – tym, który pojawia się w alertach z popularnych aplikacji takich jak WhatsApp, Instagram czy Slack. Oszustwo polega na wstawieniu niewidocznych znaków Unicode do wiadomości. Te znaki mogą zmylić system Android, powodując, że będzie on interpretował tekst inaczej podczas decydowania, która część powiadomienia jest rzeczywistym linkiem.
Czytaj też: CarPlay otwiera się na wideo. Apple w końcu wdroży wyczekiwaną funkcję
Przykładem może być link do “Amazon.com”, który po wciśnięciu opcji „Otwórz link” kieruje nas na stronę “zon.com” – właśnie taki scenariusz miał miejsce w jednym z testów, gdzie niewidzialny znak rozdzielił słowo na dwie części. Android wyświetlał pełny adres w powiadomieniu jako prawidłowy, ale traktował tylko drugą część (“zon.com”) jako faktyczny link. Digregorio zademonstrował ten przykład na swoim kanale YouTube.
Czytaj też: OnePlus 13R z nową aktualizacją OxygenOS 15.0.0.830. Ulepszenia dla fanów gamingu i nie tylko
Z racji, że raczej ufamy naszym powiadomieniom, zwłaszcza gdy pochodzą one z komunikatorów, czyli wiadomości od znajomych czy bliskich, to łatwo sobie wyobrazić, jak taka luka może zostać wykorzystana. Cybersprzestępcy bez trudu mogą ją wykorzystać do przekierowywania użytkowników na strony phishingowe, służące do wyłudzania danych, a nawet do uruchamiania niepożądanych działań w aplikacjach za pośrednictwem tzw. “deep linków”.
Czytaj też: Bezpieczeństwo kosztem żywotności? Google zmniejszy baterię w smartfonach Pixel 6a
Badacz podawał kolejny przykład z linkiem z WhatsAppa, który otwiera czat z predefiniowaną wiadomością. Chociaż jest to legalna funkcja WhatsApp, staje się potencjalnie ryzykowna, jeśli zostanie wykorzystana przez cyberprzestępcę. Chociaż w teorii apki zawsze powinny nas prosić o wykonanie jakiejkolwiek akcji wywołanej linkiem, to w rzeczywistości bywa z tym różnie, co oznacza, że po kliknięciu w taki link natychmiast może zostać uruchomione działanie niepożądane.
Czytaj też: Koniec z zaległościami w WhatsAppie. W przygotowaniu kolejne funkcje AI
Google został powiadomiony o tej luce już w marcu, ale jak do tej pory firma niczego z tym nie zrobiła. Jak podaje Digregorio, gigant określił go jako o umiarkowanym stopniu ważności, co wyjaśnia, dlaczego do tej pory nie został on naprawiony w żadnej aktualizacji, a trzeba tu wspomnieć, że dotyczy to urządzeń z systemami Android 14, 15 i 16. Teraz Google wydał jednak komentarz w tej sprawie dla Android Authority:
Jesteśmy świadomi tych badań i aktywnie pracujemy nad naprawą tego problemu, która zostanie wprowadzona w przyszłej aktualizacji zabezpieczeń. Zgodnie z ogólnymi najlepszymi praktykami bezpieczeństwa, zawsze zalecamy użytkownikom unikanie klikania w linki od nieznanych lub podejrzanych nadawców wiadomości.
Pozostaje nam więc czekać na poprawki, a tymczasem lepiej unikać klikania w linki generowane w powiadomieniach. Jeśli takowy się nam wyświetli, lepiej bezpośrednio otworzyć aplikację i upewnić się kilka razy niż później żałować.