Зловмисники використовують невидимий Юнікод, щоб змусити Android чи iPhone відкривати небезпечні посилання, які ви отримуєте в повідомленнях. Для вас посилання виглядає нормально, але Android таємно завантажує вірус, який знаходиться за посиланням, без попередження або вашої згоди. Це баг системного рівня, тому він торкається багатьох програм, навіть таких як WhatsApp і Instagram.
Дослідження від io-no стверджує, що недолік полягає в тому, як мобільна аналізує певні символи Unicode в повідомленнях. Це створює невідповідність між тим, що бачать користувачі, і тим, що обробляє система при появі пропозиції “Відкрити посилання”.
Проблема пов’язана з використанням невидимих або спеціальних символів Юнікоду, вбудованих в URL-адреси. Ці символи можуть призвести до того, що Android по-різному інтерпретує видимий текст і фактичне посилання, по якому можна виконати дію.
Наприклад, у повідомленні користувач бачитиме amazon.com, але насправді посилання відкриває zon.com, оскільки в тексті використовується невидимий для користувача символ пробілу нульової ширини. Android сприймає це посилання як ama [] zon.com. Android інтерпретує цей прихований символ пробілу нульової ширини [] як роздільник, що призводить до переходу на зовсім інший сайт, ніж очікує користувач.
В деяких випадках зловмисники можуть перенаправляти користувачів не тільки на веб-сайти, але і на сервіси, які безпосередньо взаємодіють з додатками. Дослідники показали, як, здавалося б, нешкідлива URL-адреса запустила дзвінок в WhatsApp.
Щоб зробити атаки менш помітними, зловмисники можуть використовувати сервіси скорочення URL-адрес і вбудовувати посилання в текст, який виглядає безпечним.
Тести на пристроях, включаючи Google Pixel 9 Pro XL, Samsung Galaxy S25 і більш старих версіях Android, показали, що це неправильна поведінка впливає на основні додатки, такі як WhatsApp, Telegram, Instagram, Olympus і Slack.
Враховуючи природу цього недоліку, багато стандартні засоби захисту можуть виявитися неефективними. Навіть у найкращих антивірусних рішеннь можуть бути відсутнє виявлення цих експлойтів, оскільки вони часто не включають традиційне завантаження шкідливих програм.
Дослідники також показали, що iOS / iPadOS демонструє таку ж загальну поведінку як Android. ОС розділяє URL-адресу, використовуючи невидимий символ Юнікоду. Однак є одна величезна відмінність. У операційній системі Apple реальна частина посилання оформлена іншим кольором і підкресленням (типово для URL-адрес), що спрощує для користувача виявлення неправильної поведінки.
До тих пір, поки розробники не випустять офіційний патч, користувачам смартфонів слід проявляти обережність відносно повідомлень і посилань, особливо з незнайомих джерел коштів або скорочення URL.
