C’è un nuovo allarme che sta mettendo in discussione la sicurezza di tutti i dispositivi Android: un bug, noto a Google da marzo, che continua a rappresentare una minaccia non da poco.
Un lettore di Smartworld.it ha segnalato che il problema al tasto “Apri link” nel box delle notifiche, quando un messaggio contiene un indirizzo web, è ancora una questione irrisolta e piuttosto pericolosa.
Il motivo sembra sia un comportamento anomalo di Android con alcuni caratteri Unicode invisibili. L’effetto è che quel comodo tasto virtuale, progettato per aprire rapidamente i link, può in realtà condurci a un sito completamente diverso da quello che ci aspettavamo. Un bug che, a prima vista, potrebbe sembrare di poco conto. Ma non è così: si rischia una vera e propria “roulette russa”, con utenti meno esperti che potrebbero finire su portali dubbi, dove truffe e raggiri sono dietro l’angolo.
Link pericoloso su Android: bug rischioso
Oggi riceviamo ormai link ovunque, anche su WhatsApp, Telegram o via email, da amici e parenti. Magari un collegamento a un prodotto Amazon, un link legittimo che punta al vero sito o qualcosa di divertente da vedere che appare come link. Android, con l’intenzione di semplificarci la vita, rileva la presenza del link e inserisce direttamente nel box della notifica un collegamento rapido tramite il tasto “Apri link”, che tutti noi utenti Android abbiamo visto almeno una volta.
Link pericoloso su Android: bug rischioso (mistergadget.tech)
Tuttavia la questione ha fatto nascere un problema. Quando il testo del link contiene dei caratteri speciali che di fatto non sono visibili e che quindi appaiono con un segno, questi di fatto “rompono” il link al suo interno, Android va in tilt e genera un bug. Un link legittimo ad amazon.com, con un carattere nascosto, viene interpretato dal sistema in due parti, vuol dire che se abbiamo ama[]zon.com, l’utente che clicca il tasto “Apri link” nella notifica viene inoltrato a zon.com. Questo accade perché zon.com è l’unico (l’ultimo) link che, a causa del bug, viene riconosciuto come valido.
Il bug funziona anche con simboli simili, come i caratteri cirillici, che a loro volta possono essere usati per costruire URL ingannevoli. C’è chi, con intenzioni tutt’altro che nobili, ha già studiato questo bug per usarlo a proprio vantaggio. Questa vulnerabilità può essere sfruttata per attivare dei deep link, ovvero collegamenti che possono eseguire, il più delle volte senza chiedere permessi o conferme all’utente, veri e propri comandi all’interno di un’app. Immagina: aprire una chat precompilata su WhatsApp, avviare chiamate, o richiamare schermate nascoste e preparate ad arte all’interno di un’app.
Il problema si aggrava e diventa rilevante anche per gli utenti più informati, quando si aggiunge il fatto che questi link “problematici” che mettono in crisi Android possono essere nascosti dietro link abbreviati.