Уязвимость в Android: ссылки в уведомлениях могут вести на фишинговый сайт

Уязвимость в Android: ссылки в уведомлениях могут вести на фишинговый сайт

Уязвимость в Android: ссылки в уведомлениях могут вести на фишинговый сайт

Появился повод внимательнее смотреть, куда вы кликаете в уведомлениях на Android. Даже если ссылка в сообщении выглядит надёжной — на деле она может увести вас совсем в другое место. И это не теория: уязвимость уже подтверждена на Android 14, 15 и даже 16.

Исследователь Габриеле Дигрегорио обнаружил, что кнопкой «Открыть ссылку» в уведомлениях (например, от WhatsApp (принадлежит корпорации Meta, признанной экстремистской и запрещенной в России), Slack или Telegram) можно манипулировать.

С помощью невидимых символов Unicode злоумышленники могут вставлять фальшивые адреса. Android в таком случае отображает один адрес, а переходит — по другому.

Например, вы видите ссылку на amazon[.]com, а после клика оказываетесь на zon[.]com. Всё из-за того, что Android по-разному интерпретирует текст в отображении и в момент перехода по ссылке.

Такой приём можно использовать для фишинга: пользователь думает, что переходит на знакомый сайт, а в итоге попадает на поддельную страницу. В некоторых случаях этот вектор может даже запускать действия внутри приложений — например, открывать чат с готовым текстом в WhatsApp.

Сами по себе такие функции вроде бы легальны (WhatsApp действительно позволяет запускать чаты через ссылки), но в руках атакующих превращаются в инструмент социальной инженерии.

Что говорит Google

Компанию уведомили об уязвимости ещё в марте. В ответе исследователю она признала баг и оценила его как умеренно критичный, пообещав устранить проблему в будущих обновлениях. Конкретного патча пока нет.

В комментарии Android Authority 13 июня представитель Google подтвердил, что работа над решением ведётся. И напомнил о стандартных мерах предосторожности: не переходить по ссылкам от неизвестных отправителей.

Как себя защитить

Лучший способ не попасться — не нажимать на кнопку «Открыть ссылку» в уведомлениях. Если сообщение выглядит важным — откройте само приложение и найдите нужную ссылку вручную. А заодно внимательно проверьте, куда она действительно ведёт.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Прокуратура Москвы рассказала о новом скрипте мошенников

Мошенники начали использовать новый сценарий обмана, представляясь сотрудниками службы по защите прав потребителей. Под предлогом «спасения сбережений» от якобы кражи, злоумышленники убеждают жертв передать наличные деньги курьерам. Один из последних случаев закончился хищением 5 млн рублей у пожилой пары в Москве.

О появлении новой схемы сообщил ТАСС со ссылкой на прокуратуру Москвы. По данным ведомства, мошенники действовали под видом представителей службы по защите прав потребителей и выманили крупную сумму у 78-летнего москвича и его супруги.

«Новая "маска" телефонных мошенников — теперь они представляются службой защиты прав потребителей. Именно из этой "службы" позвонил 78-летнему москвичу "ведущий сотрудник". Некий мужчина, представившийся Алексеем Федоровичем, сообщил, что деньги пенсионера похищены, но можно их вернуть. Для этого необходимо выполнять все указания и придумать кодовое слово для дальнейшего общения», — приводит ТАСС выдержку из сообщения надзорного ведомства.

По легенде мошенников, на счет одного из супругов должна была поступить компенсация, которую требовалось передать «специалистам» службы через курьеров. Пенсионеры несколько раз снимали крупные суммы со своих счетов и передавали деньги людям, называвшим согласованное кодовое слово. В итоге они лишились около 5 млн рублей.

«Кодовое слово — верный признак мошенничества. Как только по телефону просят передать сбережения курьеру — прекратите общение, положите трубку. Остались сомнения — самостоятельно проверьте информацию, позвонив в тот орган или организацию, от имени которых якобы поступил звонок», — предупредили в прокуратуре Москвы.

Ранее аферисты уже использовали похожие схемы, включая случаи, когда жертв просили не передавать деньги лично, а оставлять их в почтовых ящиках. При этом структура сценариев и легенд остаётся неизменной.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru