Joe Maring / Android Authority
Tl; Dr
- Um bug nas notificações do Android pode fazer com que o botão “Open Link” abra um link diferente da exibida.
- Os caracteres ocultos nas mensagens podem confundir o sistema, fazendo com que ele abra um link que constitua apenas uma parte da notificação exibida.
- Até que o Google emite uma correção, é mais seguro evitar o uso do botão “Open Link” e abrir links manualmente no aplicativo.
Você pode pensar duas vezes antes de tocar nesse link em suas notificações do Android, mesmo que pareça seguro. Um bug recém -descoberto significa que o link que você vê na notificação pode não ser o que você está realmente abrindo e as consequências potencialmente perigosas são aparentes.
Em uma postagem clara e detalhada do blog, o pesquisador de segurança Gabriele Digregorio estabelece como o botão “Open Link” do Android – aquele que aparece em notificações de aplicativos como WhatsApp, Instagram ou Slack – pode ser manipulado para enviar usuários para um site completamente diferente do que o mostrado. O truque envolve a inserção de caracteres unicode ocultos em uma mensagem, que pode enganar o Android para ler o texto de maneira diferente ao decidir qual parte do texto de notificação é o link.
Por exemplo, o sistema pode mostrar um link para a Amazon.com, mas quando você toca em “Open Link”, ele sutilmente o leva ao Zon.com. Foi exatamente o que aconteceu em um teste, onde um personagem invisível foi usado para dividir a palavra em dois. O Android exibiu o endereço completo na notificação como se fosse legítimo, mas tratou apenas a segunda parte (zon.com) como o link real. Digregorio demonstra este exemplo no vídeo do YouTube abaixo.
É fácil ver como isso pode ser usado para induzir as pessoas a visitar sites de phishing ou mesmo para acionar ações dentro de aplicativos por meio de links profundos. Um exemplo no relatório de DigreGorio mostra um link do WhatsApp que abre um bate -papo com uma mensagem predefinida. Este é um recurso legítimo do WhatsApp, mas é potencialmente arriscado se usado enganosamente. Em teoria, os aplicativos devem sempre solicitar confirmação antes de executar qualquer ação desencadeada por um link. No entanto, alguns não, o que significa tocar no link errado, pode iniciar algo instantaneamente.
O Google foi notificado sobre o bug em março, mas ainda não o corrigiu. Em correspondência com o pesquisador, o Google avaliou o problema como uma gravidade moderada, o que parece significar que será abordado em uma atualização futura, mas não garante um patch de segurança separado e imediato. Na época da publicação do blog na quarta -feira, a edição ainda afetava os telefones que executam o Android 14, 15 e 16, incluindo o Pixel 9 Pro. Os iPhones se comportam de maneira diferente, destacando links suspeitos com mais clareza, mas truques semelhantes são tecnicamente possíveis.
Até que uma correção chegue, a opção mais segura é evitar tocar completamente esses links gerados por notificação. Se algo parecer importante, abra o aplicativo diretamente e verifique novamente todos os links antes de visitá-los.
