Користувачі Android ризикують потрапити на шахрайські сайти або несвідомо запускати команди в додатках через нововиявлену уразливість у системі сповіщень. Все має вигляд звичайного повідомлення з посиланням, але насправді відкривається зовсім інший URL або активується прихована дія.
Користувачі Android ризикують потрапити на шахрайські сайти або несвідомо запускати команди в додатках через нововиявлену уразливість у системі сповіщень. Все має вигляд звичайного повідомлення з посиланням, але насправді відкривається зовсім інший URL або активується прихована дія.
За даними TechRadar, проблема виникає через некоректну обробку Unicode-символів у системі Android. Дослідження від команди io-no показало, що в тексті повідомлення з посиланням можуть бути невидимі символи, які змінюють фактичний URL, на який натискає користувач.
Наприклад, ви бачите повідомлення з посиланням на «amazon.com», але через вставлений символ із нульовою шириною (zero-width space), Android фактично відкриває зовсім іншу адресу, як-от «zon.com». Система не показує прихований символ, але інтерпретує його як роздільник, змінюючи поведінку кнопки «відкрити посилання».
Особливо небезпечною ця вразливість стає, якщо зловмисники використовують так звані deep links. Це посилання, які напряму запускають функції додатків. Наприклад, коротке повідомлення може відкривати вікно дзвінка в WhatsApp або запускати внутрішні функції Instagram, Discord, Telegram чи Slack.
У дослідженні зазначено, що атака спрацьовує на низці пристроїв, зокрема: Google Pixel 9 Pro XL, Samsung Galaxy S25 і старіших моделях. Для обходу фільтрів використовувалися кастомні додатки, а також сервіси скорочення URL, які маскують справжній вміст посилання.
Антивірусне ПЗ виявляється безсилим у таких випадках, адже мова йде не про класичне шкідливе ПЗ, а про маніпуляцію поведінкою інтерфейсу та налаштуваннями додатків. Тому експерти радять використовувати засоби захисту на рівні пристрою, які здатні виявляти аномалії в поведінці системи.
Android вже не вперше стає мішенню для подібних атак: відкритість платформи забезпечує гнучкість, але й залишає простір для маніпуляцій на рівні API та UI. Google вже стикався з подібними ситуаціями, зокрема з фішинговими посиланнями в SMS, підміною повідомлень у сповіщеннях тощо. Наразі компанія офіційно не прокоментувала нову вразливість, тому користувачам радять бути особливо уважними: не переходити за підозрілими посиланнями, уникати використання скорочених URL та не натискати на сповіщення з невідомих джерел.
Раніше ми писали про новий варіант Android-трояна Crocodilus навчився підмінювати довірених абонентів, додаючи фейкові записи до контактної книги жертви. Таким чином зловмисники можуть видавати себе за «службу підтримки банку» й підвищувати шанси на успішне шахрайство.
