Дослідник безпеки Gabriele Digregorio виявив небезпечну вразливість у системі сповіщень Android, яка може стати легкою здобиччю для шахраїв. Зловмисники використовують невидимі символи, щоб підмінити посилання у повідомленнях, скеровуючи користувачів на фішингові сайти чи навіть активуючи небажані дії в додатках. Про це пише Android Authority.
Як працює ця хитрість
Шахраї діють підступно, але просто:
- Вони додають у текст повідомлення невидимі Unicode-символи (наприклад, U+200B).
- На екрані ви бачите знайомий URL, наприклад, amazon.com, але кнопка "Відкрити посилання" веде на зовсім інший сайт, скажімо, zon.com.
- У тестах дослідники показали, що через таку маніпуляцію можна не лише заманити на фішинговий сайт, а й, наприклад, автоматично відправити повідомлення в WhatsApp без вашого відома.
Ця вразливість зачіпає більшість сучасних Android-пристроїв, включно з Pixel 9 Pro, на версіях Android 14, 15 і навіть 16. Google вже знає про проблему з березня 2025 року, оцінивши її як середньо критичну, і обіцяє виправлення в наступному оновленні безпеки.
Чому це небезпечно
Така схема дозволяє шахраям непомітно скеровувати вас на сайти, які крадуть особисті дані, паролі чи навіть гроші. Гірше того, деякі глибокі посилання можуть запускати дії в додатках без вашого підтвердження. Уявіть: один клік - і ваш смартфон уже відправляє повідомлення чи відкриває шкідливу сторінку.
Як захиститися прямо зараз
Поки Google готує оновлення, дотримуйтесь цих простих правил:
- Не клацайте на посилання у сповіщеннях, особливо якщо вони прийшли з невідомих додатків.
- Відкривайте повідомлення в самому додатку - так ви побачите справжній URL.
- Оновлюйте Android якомога швидше, коли вийде новий патч безпеки.
- Перевіряйте посилання вручну, якщо щось здається підозрілим.