Дослідник безпеки Gabriele Digregorio виявив уразливість у системі показу посилань у сповіщеннях Android. Зломники можуть вставити невидимі Unicode-символи в повідомлення, щоб кнопка “Open link” вела не на вказану адресу, а на зовсім інший сайт — потенційно небезпечний. Про це повідомляє Android Authority.
До з’явлення патчу користувачам радять не клацати по кнопці в повідомленнях, а переходити до застосунку вручну та перевіряти URL.
Як працює атакa
Спосіб досить простий для реалізації:
- Зловмисник включає в текст послання невидимі Unicode-символи (наприклад, U+200B);
- Android відображає повний URL (наприклад,
amazon.com), але розпізнає лише частину (наприклад,zon.com), через що кнопка веде не туди, куди бачите ви; - У тестах було показано, що через це можна направити жертву на фішинговий сайт або активувати дії у додатку (наприклад, згенерувати повідомлення в WhatsApp) без попереднього підтвердження;
Наскільки це серйозно
Уразливість стосується більшості сучасних пристроїв на Android 14, 15 і навіть 16 — зокрема, її підтвердили на Pixel 9 Pro. Google отримала повідомлення про проблему ще в березні 2025 року, оцінила її як середньої критичності та пообіцяла випустити виправлення у наступному оновленні безпеки. Найбільша небезпека полягає у можливості перенаправлення користувачів на фішингові сайти або активації шкідливих дій через глибокі посилання — без жодного підтвердження з боку користувача.
Як убезпечитися вже зараз
- Не клацайте посилання у сповіщеннях, особливо з невідомих додатків.
- Відкривайте повідомлення напряму в застосунку, щоб побачити справжнє посилання.
- Оновлюйте Android — очікується виправлення в найближчому безпековому патчі
- Увімкніть перевірку URL вручну, якщо сумніваєтеся.
