Hackers estão utilizando Unicode invisível para enganar o Android, fazendo com que ele abra links perigosos a partir de notificações. Embora o link possa parecer normal, o sistema Android pode secretamente abrir algo completamente diferente, sem aviso ou consentimento do usuário. Até mesmo aplicativos confiáveis como WhatsApp e Instagram têm vulnerabilidades a esse exploit oculto em notificações.
Uma falha de segurança no sistema de notificações do Android permitiu que atores maliciosos enganem usuários, levando-os a abrir links indesejados ou ativar ações ocultas em aplicativos, segundo especialistas. Pesquisas do io-no afirmam que a falha está na forma como o Android interpreta certos caracteres Unicode em notificações. Isso cria uma discrepância entre o que os usuários veem e o que o sistema processa quando a sugestão “Abrir Link” aparece.
O que você vê não é sempre o que você recebe
O problema origina-se do uso de caracteres Unicode invisíveis ou especiais embutidos dentro de URLs. Quando incluídos em uma mensagem, esses caracteres podem fazer com que o Android interprete o texto visível e o link acionável real de maneira diferente. Por exemplo, uma notificação pode exibir visivelmente “amazon.com”, mas o código subjacente realmente abre “zon.com”, com um caractere de espaço invisível inserido.
A notificação é apresentada como “ama[]zon.com”, incluindo o caractere oculto. No entanto, o mecanismo de sugestão interpreta esse caractere oculto como um separador, resultando no lançamento de um site inteiramente diferente. Em alguns casos, os atacantes podem redirecionar usuários não apenas para websites, mas também para links diretos que interagem diretamente com os aplicativos.
O relatório mostrou como uma URL encurtada aparentemente inofensiva levou a uma chamada via WhatsApp. Para tornar os ataques menos detectáveis, atores maliciosos podem utilizar encurtadores de URL e embutir links em textos que parecem confiáveis. A falha se torna particularmente perigosa quando combinada com links de aplicativos ou “deep links”, que podem silenciosamente acionar comportamentos como iniciar mensagens, chamadas ou abrir vistas internas do aplicativo sem a intenção do usuário.
Cenário de testes e vulnerabilidades
Testes em dispositivos, incluindo o Google Pixel 9 Pro XL, Samsung Galaxy S25 e versões mais antigas do Android, revelaram que esse problema afeta aplicativos importantes como WhatsApp, Telegram, Instagram, Discord e Slack. Aplicativos personalizados também foram utilizados para contornar a filtragem de caracteres e validar o ataque em múltiplos cenários. Dada a natureza dessa falha, muitas defesas padrão podem ser insuficientes. Até mesmo as melhores soluções antivírus podem não detectar esses exploits, uma vez que frequentemente não envolvem downloads de malware tradicionais.
Em vez disso, os atacantes manipulam o comportamento da interface do usuário e exploram as configurações dos links de aplicativos. Portanto, há uma necessidade de ferramentas de proteção de endpoint, que oferecem uma detecção mais ampla com base em anomalias de comportamento. Para usuários em risco de roubo de credenciais ou abuso de aplicativos, confiar em serviços de proteção contra roubo de identidade torna-se crucial para monitorar atividades não autorizadas e proteger dados pessoais expostos.
Até que uma correção formal seja implementada, os usuários do Android devem permanecer cautelosos com notificações e links, especialmente aqueles de fontes desconhecidas ou URLs encurtadas.
Sugestões de segurança para usuários do Android
- Mantenha seu sistema operacional atualizado: As atualizações são essenciais para corrigir falhas de segurança.
- Desconfie de mensagens de remetentes desconhecidos: Não clique em links recebidos de fontes não verificadas.
- Use autenticação em duas etapas: Isso adiciona uma camada extra de segurança à sua conta.
- Considere usar um gerenciador de senhas: Eles ajudam a manter suas senhas seguras e únicas.
- Fique atento a URLs encurtadas: Use serviços que possam pré-visualizar o destino real do link.
A segurança no ambiente digital é uma responsabilidade compartilhada. Ser proativo na proteção dos seus dispositivos e entender as ameaças emergentes são passos críticos para garantir uma experiência online segura.
