Os utilizadores de smartphones Android têm um novo problema para se preocuparem. Um bug recém-descoberto provou que qualquer link que vê na notificação pode não ser o que está realmente a ser aberto. As consequências potencialmente perigosas são evidentes e devem preocupar todos.
Numa publicação clara e detalhada, o investigador de segurança Gabriele Digregorio explica como o botão “Abrir link” do Android pode ser manipulado para direcionar os utilizadores para um site completamente diferente do apresentado. O truque envolve a inserção de caracteres Unicode ocultos numa mensagem, o que pode enganar o Android. Isso pode fazer com que o texto seja lido de forma diferente ao decidir qual a parte do texto da notificação que é o link.
Por exemplo, o sistema pode mostrar um link para a Amazon.com, mas quando se toca em “Abrir link”, leva subtilmente para zon.com. Foi exatamente o que aconteceu num teste, onde foi utilizado um caractere invisível para dividir a palavra em duas. O Android exibiu o endereço completo na notificação como se fosse legítimo, mas apenas tratou a segunda parte (zon.com) como o link real. Digregorio demonstra este exemplo no vídeo do YouTube.
É fácil perceber como isto poderia ser utilizado para induzir as pessoas a visitar sites de phishing ou até mesmo para desencadear ações dentro de aplicações através de links profundos. Um exemplo no relatório da Digregorio mostra um link do WhatsApp que abre um chat com uma mensagem predefinida.
Este é um recurso legítimo do WhatsApp, mas é potencialmente arriscado se for utilizado de forma enganadora. Em teoria, as aplicações deveriam sempre solicitar confirmação antes de realizar qualquer ação desencadeada por um link. No entanto, alguns não o fazem, o que significa que clicar no link errado pode iniciar algo instantaneamente.
A Google foi notificada sobre o bug em março, mas ainda não o corrigiu. Em correspondência com o investigador, a Google avaliou o problema como de gravidade moderada, o que parece significar que será corrigido numa futura atualização, mas não justifica um patch de segurança separado e imediato. À hora da publicação do blogue, na quarta-feira, o problema ainda afetava os telemóveis com Android 14, 15 e 16, incluindo o Pixel 9 Pro.
O iPhone comporta-se de forma diferente, destacando os links suspeitos com mais clareza, mas truques semelhantes são tecnicamente possíveis. Até que uma solução seja implementada, a opção mais segura é evitar clicar nesses links gerados pelas notificações. Se algo parecer importante, abra a aplicação diretamente e verifique os links antes de aceder aos mesmos.