Es bastante probable que, a partir de ahora, cuando veas una notificación llegar a tu teléfono móvil, tengas especial cuidado.

Y es que han descubierto una nueva vulnerabilidad que podría poner en riesgo a millones de usuarios. Básicamente, se ha demostrado que una simple notificación de aplicaciones como WhatsApp o Instagram puede contener un enlace falso camuflado que redirige a sitios fraudulentos.

El investigador de seguridad Gabriele Digregorio ha demostrado que el fallo se reproduce en el botón “Abrir enlace” que aparece en las notificaciones de Android. Esto lo puede hacer el ciberdelincuente mediante la inserción de caracteres Unicode invisibles, para confundir al sistema y hacer que interprete solo una parte del texto como enlace real.

“El sistema puede mostrarte un enlace a Amazon. com, pero al tocarlo, te redirige a zon. com”, advierte Digregorio.

Lo pudo demostrar insertando un carácter invisible entre las letras, pudiendo dividir la palabra y engañar al sistema. Aunque el enlace completo se ve como legítimo, Android solo reconoce y abre la segunda mitad, que redirige al usuario a una página falsa.

De esta forma, este tipo de técnicas pueden utilizarse para engañar al usuario y llevarlo a sitios de phishing, pero también podrían activar ciertas acciones dentro de algunas aplicaciones como WhatsApp, a través de enlaces profundos.

Google ya fue informado al respecto el pasado mes de marzo, calificando el fallo como de “gravedad moderada”.

Tras el revuelo causado en estas últimas horas, Google ha emitido una declaración al respecto: “Estamos al tanto de esta investigación y estamos trabajando activamente para solucionar este problema, que se implementará en una futura actualización de seguridad. Como práctica de seguridad general, siempre recomendamos a los usuarios evitar hacer clic en enlaces de remitentes desconocidos o sospechosos”.

En vista de que el fallo todavía no está corregido, hay que ser especialmente cuidadoso a la hora de abrir enlaces desde notificaciones.

Es preferible que, por seguridad, no pulses enlaces que te aparezcan en notificaciones en Android y compruebes manualmente el enlace yendo directamente a la aplicación correspondiente.

Conoce cómo trabajamos en ComputerHoy.

Etiquetas: Malware