"Non aprite quel link", la nuova allerta in Italia arriva sui dispositivi (mistergadget.tech)
C’è un nuovo allarme che sta mettendo in discussione la sicurezza di tutti i dispositivi Android: un bug, noto a Google da marzo, che continua a rappresentare una minaccia non da poco.
Un lettore di Smartworld.it ha segnalato che il problema al tasto “Apri link” nel box delle notifiche, quando un messaggio contiene un indirizzo web, è ancora una questione irrisolta e piuttosto pericolosa.
Il motivo sembra sia un comportamento anomalo di Android con alcuni caratteri Unicode invisibili. L’effetto è che quel comodo tasto virtuale, progettato per aprire rapidamente i link, può in realtà condurci a un sito completamente diverso da quello che ci aspettavamo. Un bug che, a prima vista, potrebbe sembrare di poco conto. Ma non è così: si rischia una vera e propria “roulette russa”, con utenti meno esperti che potrebbero finire su portali dubbi, dove truffe e raggiri sono dietro l’angolo.
Link pericoloso su Android: bug rischioso
Oggi riceviamo ormai link ovunque, anche su WhatsApp, Telegram o via email, da amici e parenti. Magari un collegamento a un prodotto Amazon, un link legittimo che punta al vero sito o qualcosa di divertente da vedere che appare come link. Android, con l’intenzione di semplificarci la vita, rileva la presenza del link e inserisce direttamente nel box della notifica un collegamento rapido tramite il tasto “Apri link”, che tutti noi utenti Android abbiamo visto almeno una volta.
Tuttavia la questione ha fatto nascere un problema. Quando il testo del link contiene dei caratteri speciali che di fatto non sono visibili e che quindi appaiono con un segno, questi di fatto “rompono” il link al suo interno, Android va in tilt e genera un bug. Un link legittimo ad amazon.com, con un carattere nascosto, viene interpretato dal sistema in due parti, vuol dire che se abbiamo ama[]zon.com, l’utente che clicca il tasto “Apri link” nella notifica viene inoltrato a zon.com. Questo accade perché zon.com è l’unico (l’ultimo) link che, a causa del bug, viene riconosciuto come valido.
Il bug funziona anche con simboli simili, come i caratteri cirillici, che a loro volta possono essere usati per costruire URL ingannevoli. C’è chi, con intenzioni tutt’altro che nobili, ha già studiato questo bug per usarlo a proprio vantaggio. Questa vulnerabilità può essere sfruttata per attivare dei deep link, ovvero collegamenti che possono eseguire, il più delle volte senza chiedere permessi o conferme all’utente, veri e propri comandi all’interno di un’app. Immagina: aprire una chat precompilata su WhatsApp, avviare chiamate, o richiamare schermate nascoste e preparate ad arte all’interno di un’app.
Il problema si aggrava e diventa rilevante anche per gli utenti più informati, quando si aggiunge il fatto che questi link “problematici” che mettono in crisi Android possono essere nascosti dietro link abbreviati.
