Un bug di Android mette a rischio la sicurezza dell'esperienza d'uso con il robottino verde. Google lo conosce da mesi (da marzo) ma come conferma una segnalazione delle scorse ore di un lettore di smartworld.it ai colleghi il bug al tasto "Apri link" del box di una notifica su un messaggio che contiene un indirizzo web, un link, è ancora una (pericolosa) questione irrisolta.
La causa sarebbe il comportamento anomalo su alcuni caratteri Unicode che non sono visibili, l'effetto che il tasto virtuale a schermo che consente di aprire rapidamente i link può condurre a un sito diverso da quello di origine. Un problema all'apparenza di poco conto, nei fatti però non è così: si rischia la roulette russa, di mandare utenti poco consapevoli su siti e portali dubbi, in cui truffe e raggiri sono dietro l'angolo.
Un passo indietro. Chi non ha mai ricevuto da un amico, da una persona fidata, un link su WhatsApp, Telegram o tramite email? Un collegamento ad esempio a un prodotto Amazon, un link legittimo al portale "vero" di Amazon. Android rileva la presenza di un link e con volontà di dare una mano inserisce, direttamente nel box della notifica, un collegamento diretto al link tramite il tasto Apri link che chiunque usi Android ha visto almeno una volta nella vita.
Da qualche tempo c'è un problema. Quando il testo contiene dei caratteri speciali invisibili che interrompono il link internamente, Android va in confusione. Per riprendere l'esempio precedente del link (legittimo) ad amazon.com, con il carattere nascosto (e ribadiamo: non visibile) il sistema interpreta ed esegue ama[]zon.com, mandando l'utente che tocca il tasto "Apri link" nella notifica non ad amazon.com ma a zon.com, l'unico (l'ultimo) link che a causa del bug viene riconosciuto come valido.
Il bug funziona anche con simboli simili come i caratteri cirillici, che a loro volta possono essere usati per costruire URL ingannevoli (i cosiddetti omoglifi).
C'è chi, con animo non limpidissimo, sul bug ha ragionato cercando di capire come usarlo a proprio vantaggio. Così la circostanza può essere usata per attivare dei deep link, cioè link che possono eseguire, il più delle volte senza chiedere permessi o conferme all'utente, dei veri e propri comandi all'interno di un'app, come aprire una chat precompilata su WhatsApp, avviare chiamate o richiamare delle schermate custodite in un'app, preparate ad arte e normalmente non visibili.
Il problema si aggrava e diventa tale anche per chi, un po' più smaliziato della media, si sente escluso se all'analisi si aggiunge il fatto che i link "problematici" che mandano in confusione Android possono essere nascosti dietro link generici abbreviati, come ad esempio quelli di Bitly o di Urly.
Lo sviluppatore autore della scoperta ha segnalato per la prima volta a Google il problema a inizio marzo, ma da allora non è stato fatto nulla per porvi rimedio.
Computer senza silicio: nasce il primo elaboratore con materiali 2D