Злоумышленники используют невидимый Юникод, чтобы заставить Android или iPhone открывать опасные ссылки, которые вы получаете в сообщениях. Для Вас ссылка выглядит нормально, но Android тайно загружает вирус, который находится по ссылке, без предупреждения или вашего согласия. Это баг системного уровня, поэтому он затрагивает многие приложения, даже такие как WhatsApp и Instagram.
Исследование io-no утверждает, что недостатком является то, как мобильный анализирует определенные символы Unicode в сообщениях. Это создает несоответствие между тем, что видят пользователи, и тем, что обрабатывает система при появлении предложения «открыть ссылку».
Проблема связана с использованием невидимых или специальных символов Юникода, встроенных в URL-адреса. Эти символы могут привести к тому, что Android по-разному интерпретирует видимый текст и фактическую ссылку, по которой можно выполнить действие.
Например, в сообщении пользователь будет видеть amazon.com, но на самом деле ссылка открывает zon.com, поскольку в тексте используется невидимый для пользователя символ пробела нулевой ширины. Android воспринимает эту ссылку как ama [] zon.com. Android интерпретирует этот скрытый символ пробела нулевой ширины [] в качестве разделителя, что приводит к переходу на совершенно другой сайт, чем ожидает пользователь.
В некоторых случаях злоумышленники могут перенаправлять пользователей не только на веб-сайты, но и на сервисы, которые напрямую взаимодействуют с приложениями. Исследователи показали, как, казалось бы, безобидный URL-адрес вызвал звонок в WhatsApp.
Чтобы сделать атаки менее заметными, злоумышленники могут использовать службы сокращения URL-адресов и встраивать ссылки в текст, который выглядит безопасным.
Тесты на устройствах, включая Google Pixel 9 Pro XL, Samsung Galaxy S25 и более старые версии Android, показали, что это неправильное поведение влияет на основные приложения, такие как WhatsApp, Telegram, Instagram, Olympus и Slack.
Учитывая природу этого недостатка, многие стандартные средства защиты могут оказаться неэффективными. Даже в лучших антивирусных решениях может отсутствовать обнаружение этих эксплойтов, поскольку они часто не включают традиционную загрузку вредоносных программ.
Исследователи также показали, что iOS / iPadOS демонстрирует такое же общее поведение, как и Android. ОС разделяет URL-адрес, используя невидимый символ Юникода. Однако есть одно огромное отличие. В операционной системе Apple реальная часть ссылки оформлена другим цветом и подчеркиванием (типично для URL-адресов), что упрощает для пользователя выявление неправильного поведения.
До тех пор, пока разработчики не выпустят официальный патч, пользователям смартфонов следует проявлять осторожность в отношении сообщений и ссылок, особенно из незнакомых источников средств или сокращения URL.
