Nicolai Busekist
Det har vist sig, at en fejl i Android har gjort det muligt for hackere at narre brugere til at downloade malware til deres enheder.
En sikkerhedsbrist i Androids notifikationssystem kan ifølge eksperter gøre det muligt for ondsindede aktører at narre brugere til at åbne uønskede links eller udløse skjulte funktioner i apps.
Forskning fra io-no afslører ifølge mediet TechRadar, at fejlen ligger i, hvordan Android fortolker visse Unicode-tegn i notifikationer.
Det skaber en uoverensstemmelse mellem det, brugeren ser, og det, systemet reelt udfører, når ‘Åbn link’-forslaget vises.
Det du ser, er ikke altid det, du får
Problemet opstår ved brug af usynlige eller særlige Unicode-tegn, som kan indsættes i URL’er- Når disse tegn medtages i en besked, kan det få Android til at tolke den synlige tekst og det reelle link forskelligt.
For eksempel kan en notifikation vise ‘Amazon.com’, selvom den underliggende kode åbner ‘Zon.com’, fordi et såkaldt ‘zero-width space’-tegn er indsat.
Notifikationen viser som ‘Ama[]zon.com’, hvor det usynlige tegn er med. Systemet opfatter dog tegnet som en adskillelse og åbner dermed et helt andet website.
I visse tilfælde kan angribere ikke kun viderestille brugere til falske hjemmesider, men også til såkaldte ‘deep links’, der er skabt til at kunne interagere direkte med apps på enheden.
Rapporten viste for eksempel, hvordan et tilsyneladende harmløst forkortet link førte til et WhatsApp-opkald.
For at gøre angrebene sværere at opdage, kan ondsindede aktører gøre brug af såkaldte URL-forkortere og skjule links bag tilforladelige tekster.
Særligt farligt med deep links
Bristen bliver særligt farlig, når den kombineres med app-links eller deep links, som kan udløse handlinger som beskeder, opkald eller åbning af interne app-visninger – helt uden at brugeren egentlig har givet samtykke til det.
Test på enheder som Google Pixel 9 Pro XL, Samsung Galaxy S25 og ældre Android-versioner viste, at problemet påvirker store apps som WhatsApp, Telegram, Instagram, Discord og Slack.
Brugerdefinerede apps blev også anvendt til at omgå tegnfiltrering og bekræfte sårbarheden i flere scenarier, lyder det fra TechRadar.
Traditionelle sikkerhedsforanstaltninger slår ikke til
På grund af fejlens karakter er almindelige sikkerhedsværktøjer ofte utilstrækkelige. Selv de bedste antivirusprogrammer kan overse disse angreb, da de ikke nødvendigvis involverer klassisk malware.
I stedet manipulerer angriberne med brugergrænsefladen og udnytter konfigurationer i app-links. Derfor anbefales det at anvende endpoint-sikkerhedsværktøjer, der er i stand til at registrere adfærdsbaserede afvigelser.
For brugere, der risikerer tyveri af loginoplysninger eller misbrug af deres app, kan det være en rigtig god idé at bruge en tjeneste til identitetsovervågning til at opdage uautoriseret aktivitet og sikre personlige data.
Indtil der kommer en officiel rettelse, bør Android-brugere være ekstra opmærksomme på notifikationer og links – især fra ukendte kilder eller med forkortede URL’er.