Prima di procedere
La gestione dei link nelle notifiche di Android presenta un potenziale problema di sicurezza, che potrebbe mettere a rischio la sicurezza degli utenti. Secondo un ricercatore di cybersecurity, un bug del sistema operativo, in parte riscontrabile anche su iOS, consente l'abuso di caratteri Unicode, aprendo la strada a tentativi di phishing e altre truffe.
Su Android, un sistema vi consente di aprire link direttamente dalle notifiche, senza dover aprire l'applicazione madre come WhatsApp o Messaggi. Tuttavia, questo sistema potrebbe non gestire correttamente certi caratteri Unicode, portando a una discrepanza tra il link visibile e quello effettivamente utilizzato, causando la possibilità di attivare link indesiderati che portano a siti di phishing o di truffe digitali.
Un esempio esplicativo mostra una notifica suggerire l'apertura di www.amazon.com, mentre toccando il link si viene indirizzati a zon.com, al momento vuoto. Questa discrepanza è causata dall'interpretazione di Android di un invisibile carattere Unicode (U+200B), che altera il riconoscimento del link previsto.
Il problema va oltre: non solo i link di siti web possono essere errati, ma anche i link per avviare deep link o applicazioni possono essere ingannevoli. Ad esempio, un messaggio che appare come wired.com/ potrebbe in realtà attivare un link che apre una chat WhatsApp con un messaggio precompilato, utilizzando la funzione deep link di Android per eseguire comandi senza consenso utente.
È preoccupante che anche le app di comunicazione più usate come WhatsApp, Telegram, Instagram, Discord e Slack possano essere sfruttate attraverso questa vulnerabilità. Gli intrusi potrebbero utilizzare URL abbreviate come TinyURL per oscurare ancora di più il link reale e ingannare ulteriormente l'utente.
I test sul campo, eseguiti su vari modelli di smartphone, inclusi Google Pixel 9 Pro XL con Android 16 e Samsung Galaxy S25, hanno tutti evidenziato la presenza di questo problema. Il ricercatore ha riferito la questione a Google l'11 marzo 2025, che l'ha classificata come di gravità moderata ma non ha ancora risolto il bug.
Mentre attendiamo un intervento risolutivo da parte di Google, è saggio che gli utenti adottino la massima cautela nel cliccare sui link da notifiche, soprattutto quando provengono da contatti sconosciuti o sospetti.
Per quanto riguarda iOS, il sistema di gestione delle notifiche si comporta in modo simile, ma con una sicurezza aggiunta: evidenzia parti dell'URL sospette con diverse colorazioni e sottolineature, facilitando la distinzione di eventuali anomalie ai suoi utenti.
