¿Cuántas veces al día miras la pantalla de tu teléfono? Cada persona es un mundo, pero atendiendo a las horas de uso que podemos ver en los ajustes, seguro que más de las que piensas y buena parte de culpa de la atención al móvil las tiene las notificaciones. Ese aviso que nos ayuda a enterarnos al momento de cosas importantes como llamadas o algún mensaje crítico, pero también de mucha paja como si una publicación de una red social ha recibido feedback. De ahí que sea esencial tener las notificaciones bien configuradas.
Sin embargo, esas notificaciones encargadas de que no nos perdamos nada también tienen potencial para ponernos en riesgo. Ojo, no es que las notificaciones sean malas en sí más allá de distraernos, pero es que un investigador de seguridad acaba de destacar una ingeniosa y efectiva forma de que abras un enlace malicioso en Android sin ser consciente de ello.
Cuidado con los enlaces de las notificaciones
El investigador en cuestión se llama Gabriele Digregorio y en su blog ha contado cómo el aviso interactivo de ‘Abrir enlace’ del sistema de notificaciones de Android puede ser una bomba de relojería en manos indebidas. Así, podrías abrir un enlace en apariencia inofensiva pero en en realidad lleva a un sitio potencialmente peligroso o falso.
La clave de esta vulnerabilidad radica en que las notificaciones no pueden manejar correctamente algunos caracteres Unicode, lo que según Disgregorio lleva a inconsistencias entre lo que se muestra y lo que realmente usa el sistema para la sugerencia automática de ‘Abrir enlace’. En pocas palabras, que puede resultar engañoso para que usuarios y usuarias para que abran un enlace distinto al que aparece en la notificación.
El investigador profundiza explicando que una persona con intenciones maliciosas podría incrustar caracteres Unicode dentro del enlace de una web, de modo que estos no siempre aparecen en la vista previa del enlace de la notificación. Así, el sistema divide el texto del enlace en dos partes (separadas por los caracteres ocultos) y solo interpreta una parte del enlace como el destino real del botón.
Notificación. Blog io-no
Este comportamiento anómalo puede aprovecharse para phishing o para activar enlaces de aplicaciones y deep links. Sobre estas líneas puedes ver algunos ejemplos del comportamiento de las notificaciones de Android con los enlaces, en este caso aplicado a Amazon.
Al añadir un carácter Unicode entre ‘ama’ y ‘zon’, Disgregorio consiguió que la notificación mostrara ‘amazon.com’, mientras que el botón ‘Abrir enlace’ en realidad llevaba a ‘zon.com’. En su blog hay otros ejemplos con apps y sitios típicos como WhatsApp, Telegram, Instagram, Discord y Slack. En cualquier caso, no es una cuestión de esas apps, sino un problema del sistema de notificaciones.
Para sus pruebas ha usado diferentes versiones de Android y modelos Google Pixel y Samsung Galaxy de la familia S. Según informa Android Police, Google recibió el aviso del problema allá por marzo y lo clasificó como de «gravedad moderada», lo que implica que la corrección no se lleva a cabo inmediatamente, sino en una futura actualización de seguridad.
Android Authority preguntó a Google sobre esta cuestión y la tecnológica ha respondido dando una recomendación temporal a la espera de la implementación del parche:
«Somos conscientes de esta investigación y estamos trabajando activamente en una solución para este problema, que se implementará en una futura actualización de seguridad. Como práctica general de seguridad, siempre recomendamos a los usuarios evitar hacer clic en enlaces provenientes de remitentes desconocidos o sospechosos.»
Así que ya sabes, ante cualquier notificación donde aparezca un enlace, mejor dirigirse a la aplicación o la web en cuestión directamente y no desde el enlace. Y si ya lo has pulsado, mejor extremar precauciones y desconfiar, evitando añadir información personal como nuestras crecenciales.
En Xataka Android | La guía definitiva para solucionar los problemas más comunes en las notificaciones en Android
En Xataka Android | Que nadie te moleste más: cómo controlar por completo las notificaciones en tu móvil Android
Portada | Pepu Ricca
–
La noticia
Ese enlace de las notificaciones del móvil no es lo que parece: un investigador destapa una vulnerabilidad ideal para el phising
fue publicada originalmente en
Xataka Android
por
Eva R. de Luis
.
