В Android вновь обнаружена уязвимость, связанная с обработкой Unicode-символов в push-уведомлениях. Суть проблемы — в том, что злоумышленник может внедрить невидимые или управляющие символы Unicode в ссылку, отображаемую в уведомлении. В результате пользователь видит привычный и безопасный адрес, но при переходе по ссылке открывается совершенно другой, зачастую вредоносный ресурс.
Механизм атаки основан на особенностях Unicode: такие символы могут менять порядок букв, направление текста или даже скрывать часть данных, не отображая их визуально, но оставляя их доступными для обработки системой. В Android-уведомлениях это приводит к тому, что предпросмотр ссылки не совпадает с реальным адресом, на который ведёт кнопка действия. Подобные баги с Unicode встречаются не только в Android, но и в других системах, включая iOS и различные веб-приложения.
В прошлом подобные уязвимости уже приводили к сбоям приложений и даже зависанию устройств при получении специальных сообщений с эмодзи или определённой последовательностью символов. В данном случае речь не о сбое, а о фишинговом векторе — пользователь может не заметить подмену и перейти на вредоносный сайт.
Google признала проблему, но пока не выпустила срочного патча. Исправление ожидается в будущих обновлениях безопасности. До этого момента пользователям стоит быть особенно внимательными к ссылкам в уведомлениях, даже если они выглядят привычно. Unicode-уязвимости остаются одними из самых живучих и универсальных для мобильных платформ.
