Aggiornamento, 13 de junio de 2025 (5:19 PM ET): Google se ha comunicado con Android Authority con un comentario sobre los hallazgos de este investigador. Un portavoz nos dice:

Somos conscientes de esta investigación y estamos trabajando activamente en una opción para este problema que se implementará en una modernización de seguridad futura. Como la mejor habilidad de seguridad militar, siempre aconsejamos a los usuarios que eviten hacer clic en los enlaces de remitentes de mensajes desconocidos o sospechosos.

Ese es un consejo sólido, y esperamos ver la mitigación de Google en entusiasmo una vez que la opción esté letanía.

Artículo llamativo, 13 de junio de 2025 (11:40 am ET): Es posible que desee pensar dos veces antiguamente de tocar ese enlace en sus notificaciones de Android, incluso si parece seguro. Un error recién descubierto significa que el enlace que ve en la notificación podría no ser el que en realidad está abriendo, y las consecuencias potencialmente peligrosas son evidentes.

En un claro y detallado blogel investigador de seguridad Gabriele Digregorio establece cómo el llamador “Aclarar enlace” de Android, el que aparece en notificaciones de aplicaciones como WhatsApp, Instagram o Slack, puede manipularse para mandar a los usuarios a un sitio web completamente diferente al que se muestra. El truco implica insertar caracteres unicode ocultos en un mensaje, que puede engañar a Android para descifrar el texto de guisa diferente al arriesgarse qué parte del texto de notificación es el enlace.

Por ejemplo, el sistema podría mostrarle un enlace a Amazon.com, pero cuando toca “Ensenada el enlace”, sutilmente lo lleva a Zon.com. Eso es exactamente lo que sucedió en una prueba, donde se usó un personaje invisible para dividir la palabra en dos. Android mostró la dirección completa en la notificación como si fuera legítima, pero trató solo la segunda parte (Zon.com) como el enlace efectivo. Digregorio demuestra este ejemplo en el video de YouTube a continuación.

Es casquivana ver cómo esto podría estilarse para engañar a las personas para que visiten sitios de phishing, o incluso para activar acciones interiormente de las aplicaciones a través de enlaces profundos. Un ejemplo en el mensaje de Digregorio muestra un enlace de WhatsApp que abre un chat con un mensaje preestablecido. Esta es una característica legítima de WhatsApp, pero es potencialmente arriesgado si se usa engañosamente. En teoría, las aplicaciones siempre deben solicitar confirmación antiguamente de sobrellevar a lengua cualquier entusiasmo activada por un enlace. Sin secuestro, algunos no, lo que significa que tocar el enlace incorrecto podría propalar poco al instante.

Google fue notificado sobre el error en marzo, pero aún no lo ha parcado. En correspondencia con el investigador, Google evaluó el problema como una dificultad moderada, lo que parece significar que se abordará en una modernización futura, pero no garantiza un parche de seguridad separado e inmediato. En el momento de la publicación del blog el miércoles, el tema aún afectaba a los teléfonos que ejecutan Android 14, 15 y 16, incluido el Pixel 9 Pro. Los iPhones se comportan de guisa diferente, destacando los enlaces sospechosos más claramente, pero los trucos similares son técnicamente posibles.

Hasta que llegue una opción, la opción más segura es evitar tocar estos enlaces generados por notificaciones por completo. Si poco parece importante, bahía la aplicación directamente en su ocasión y verifique cualquier enlace antiguamente de visitarlos.