Scienza e tecnologia

Non aprite quel link: bug Android per truffarvi tramite notifica

18 ore fa
2.889 2 minuti di lettura

Emanuele Cisotti






sicurezza android

Un nostro lettore ci ha contattato segnalando dubbi su una delle funzioni automatiche più comode (e diffuse) di Android: il pulsante “Apri link” nelle notifiche. A causa di un comportamento anomalo legato ad alcuni caratteri Unicode invisibili, il bottone per l’apertura rapida dei link può aprire un sito diverso da quello mostrato sullo schermo.

Il rischio non è solo teorico: si parla di phishing, truffe e link ingannevoli, anche nelle app più comuni come WhatsApp, Telegram e Instagram. Ecco cosa succede e perché bisogna fare attenzione.

Il link che vedi non è sempre quello che si apre

Android suggerisce automaticamente pulsanti come “Apri link” quando rileva un URL in una notifica. Il problema nasce quando il testo contiene caratteri speciali invisibili, come lo spazio a larghezza zero (U+200B). Questi simboli non si vedono, ma interrompono il link internamente, facendolo apparire diverso da quello che il sistema interpreta.

Esempio pratico: una notifica mostra amazon.com, ma con un carattere nascosto diventa ama[ ]zon.com.

Il sistema Android, nel proporre il link da aprire, riconosce solo zon.com come valido. Il risultato? Toccando “Apri link”, si apre un sito completamente diverso.

Questo trucco funziona anche con caratteri visivamente simili, come le lettere cirilliche, che possono essere usate per costruire URL ingannevoli (i cosiddetti omoglifi).

Non solo siti falsi: si attivano anche link dentro le app

Oltre al phishing classico, questa tecnica può essere usata per attivare deep link, cioè link che aprono una specifica funzione all’interno di un’app. Ad esempio:

  • aprire una chat WhatsApp precompilata (es. wa.me/1234567890?text=provola);
  • avviare chiamate, messaggi o schermate nascoste in altre app.

Il problema è che molte app non chiedono conferma all’utente prima di eseguire queste azioni, lasciando spazio a potenziali abusi. In un caso documentato, un link camuffato ha attivato una chiamata WhatsApp senza alcun avviso.

A rendere tutto più subdolo ci pensa l’uso di URL abbreviati (come TinyURL), che nascondono l’indirizzo reale e rendono ancora più difficile capire cosa succede davvero.

Bug noto, ma ancora senza correzione

Il ricercatore autore della scoperta ha segnalato il problema a Google l’11 marzo 2025. Dopo una prima risposta formale, il bug è rimasto attivo per mesi, ed è stato confermato su vari dispositivi recenti: Pixel 9, Galaxy S25 e Galaxy S21 Ultra.

Anche su iOS esiste un comportamento simile, ma con una grossa differenza visiva: il sistema evidenzia in modo chiaro quale parte del testo è cliccabile, rendendo più difficile cadere in trappola.

Su Android, invece, tutto appare normale — ma il link che si apre potrebbe non essere quello mostrato. Trovate maggiori informazioni sul blog dell’autore.

Grazie a Gabriele per la segnalazione


Source link

Tags
18 ore fa
2.889 2 minuti di lettura

articoli Correlati

è record storico negli USA, superata PS4

4 minuti fa

Creative Assembly celebra 25 anni di Total War e prepara sorprese per i fan a dicembre

57 minuti fa

la Remaster serve solo a spillare soldi? I fan protestano

2 ore fa

oltre il 63% dei giocatori proviene dalla Cina

3 ore fa
Back to top button
Translate »