I když vám na Android dorazí notifikace s odkazem, který vypadá zcela bezpečně, měli byste si dvakrát ověřit, zda skutečně vede tam, kam má. Bezpečnostní inženýr Gabriele Digregorio odhalil, že tlačítko „Otevřít odkaz“ v notifikacích z WhatsAppu, Instagramu, Telegramu, Discordu a dalších aplikací může velmi snadno vést úplně jinam, než ukazuje zobrazený odkaz. Stačí do něj jen přidat speciální znak Unicode, který Android znejistí. Telefon neví, která část odkazu je samotná adresa URL, což lze velmi snadno zneužít
Tento odkaz vede na web „polimi.it“, podobně lze zneplatnit úvod odkazu, takže místo „www.amazon.com“ vede link na „zon.com“
V praxi si to můžete představit tak, že vám někdo na WhatsApp nebo Messenger pošle odkaz, a pokud využijete systémové návrhy a kliknete na tlačítko v notifikační liště, uvidíte úvod odkazu, ale otevře se pouze jeho koncová část. Je třeba dodat, že některé aplikace vyžadují od uživatele potvrzení, že chce přejít na konkrétní odkaz, jiné však nikoliv. To znamená, že v případě podstrčeného odkazu by se okamžitě vykonaly určité akce. Například by se otevřela WhatsApp konverzace s přednastaveným číslem a zprávou, kterou stačí jen odeslat. Postačí podstrčit takzvaný Deep link se specifickou podobou, který lze ještě zamaskovat zkracovačem URL adresy.
Když se k tomu však přidají zkracovače adres nebo známé webové stránky na začátek, může jít o bezpečnostní problém. Tento odkaz otevře v telefonu WhatsApp konverzaci s daným číslem a předepsanou zprávou
Chyba ovlivňuje smartphony s operačními systémy Android 14, Android 15 a Android 16. iPhony přistupují k odkazům trochu jinak, takže jsou podezřelé odkazy více patrné – skutečný odkaz má modrou barvu. Přesto jsou i u iPhonů podobné triky s odkazy technicky možné. Google o chybě ví od března, zatím však k její opravě nedošlo. Podle posledního vyjádření Googlu dojde k opravě v některé z budoucích měsíčních bezpečnostních záplat.
Jak se chránit
Do té doby Google doporučuje, abyste v notifikační liště neklikali na odkazy od neznámých nebo podezřelých odesílatelů. Google totiž nemůže zaručit, že odkaz skutečně povede tam, kam podle uvedené adresy má. Pokud vám do telefonu dorazí odkaz, raději jej otevírejte prostřednictvím plnohodnotného zobrazení aplikace, nikoliv pouze přes horní lištu. Pomoci vám u některých aplikací mohou náhledy odkazů, z nichž byste mohli poznat, že je na nich „něco“ špatně.
A pokud odesílatele neznáte nebo vám přijde podezřelý, odkazy od něj raději neotevírejte vůbec.