Un récent problème de sécurité sur les smartphones Android pourrait exposer les utilisateurs à des risques inattendus liés aux liens dans les notifications. Cette vulnérabilité nécessite une attention particulière pour éviter des conséquences indésirables.
Les utilisateurs de smartphones Android doivent être alertés par un nouveau problème de sécurité. Un bug récemment découvert révèle que les liens affichés dans les notifications pourraient ne pas mener aux sites attendus. Les implications peuvent être sérieuses et méritent une attention accrue.
Dans une publication détaillée, le chercheur en sécurité Gabriele Digregorio explique comment le bouton « Ouvrir le lien » d’Android peut être manipulé pour rediriger les utilisateurs vers un site totalement différent de celui affiché. Cette technique repose sur l’insertion de caractères Unicode invisibles dans un message, trompant ainsi le système. Cela modifie la lecture du texte de la notification, faussant la détection du lien.
Par exemple, un lien affiché comme Amazon.com peut réellement rediriger vers zon.com. Un test a démontré que grâce à un caractère invisible, le texte complet apparaissait légitime, mais seul la seconde partie (zon.com) était reconnue comme lien valide. Digregorio présente cet exemple dans une vidéo sur YouTube.
Cette pratique pourrait difficilement être utilisée pour conduire des utilisateurs vers des sites de phishing ou même pour engendrer des actions indésirables dans des applications via des liens profonds. Un cas dans le rapport de Digregorio illustre un lien WhatsApp qui ouvre une conversation avec un message préétabli.
Bien que cela soit une fonction légitime de WhatsApp, son utilisation malveillante présente des risques. En théorie, les applications devraient toujours demander une confirmation avant d’exécuter une action suite à un lien, mais certaines ne le font pas. Cela implique que cliquer sur le lien inapproprié pourrait déclencher immédiatement une action.
Google a été informé du bug en mars, mais aucune correction n’a encore été apportée. Lors de leurs échanges avec le chercheur, Google a classé le problème comme de gravité modérée, impliquant qu’il sera corrigé dans une prochaine mise à jour, mais cela ne justifie pas un patch de sécurité immédiat. Au moment de la publication, le problème touchait les appareils Android 14, 15 et 16, y compris le Pixel 9 Pro.
Le iPhone affiche les liens douteux de manière plus visible, mais des techniques similaires restent techniquement possibles. En attendant une solution, la méthode la plus sûre consiste à éviter de cliquer sur ces liens contenus dans les notifications. Si quelque chose paraît crucial, il vaut mieux ouvrir l’application directement et examiner les liens avant d’y accéder.