Android: Darum solltest du Links nicht direkt aus den Benachrichtigungen öffnen
In Android gibt es eine potenzielle Sicherheitslücke. (Foto: JarTee/Shutterstock)
Sogenannte homoglyphische Attacken haben in den vergangenen Jahren an Bedeutung gewonnen. Dabei locken Cyberkriminelle Nutzer:innen auf Fake-Websites, deren Domains den echten durch die Verwendung optisch identischer Zeichen oder durch Unicode-Manipulation zum Verwechseln ähnlich sehen.
Mögliche Sicherheitslücke in Android
Eine besondere Spielart dieses Angriffs ist laut dem Sicherheitsforscher Gabriele Digregorio in einigen beliebten Apps wie Whatsapp, Telegram oder Slack auf Android-Smartphones möglich. Die potenzielle Sicherheitslücke hat er in einem Blogartikel ausführlich beschrieben.
Auch hier liegt das Problem in der Möglichkeit, gängige ASCII-Zeichen in einer Domain durch fast identische aus der Unicode-Tabelle zu ersetzen. Als Beispiel dient etwa das kyrillische „a“, das dem lateinischen zum Verwechseln ähnlich sieht.
Täuschungsversuche mit gefälschten URLs
Darüber hinaus kann aber auch ein unsichtbares Zeichen wie das breitenlose Leerzeichen („U+200B“) Nutzer:innen auf eine falsche Fährte locken. Denn dadurch wird der klickbare Link verändert – aus „ama[]zon.com“ wird dabei etwa „zon.com“. Zudem ist dadurch auch die Täuschung mit verkürzten URLs möglich.
Konkret geht es in dem Warnhinweis des Sicherheitsforschers um die Open-Link-Vorschläge in den Benachrichtigungen einiger wichtiger Android-Anwendungen. Untersucht hat Digregorio das problematische Verhalten bei Whatsapp, Telegram, Instagram, Discord und Slack.
Open-Link-Vorschläge als Einfallstor
Hier hätten Nutzer:innen mithilfe veränderter Zeichen auf gefälschte Websites gelockt werden können. Wobei nicht alle Angriffsmethoden bei allen Apps erfolgreich waren. Eine Täuschung mit dem breitenlosen Leerzeichen war etwa bei Whatsapp möglich, nicht aber bei Telegram.
Nutzer:innen können aktuell nicht viel mehr tun als beim Klick auf die Open-Link-Vorschläge in Android vorsichtig zu sein. Digregorio hat das Problem im März 2025 an Google gemeldet. Dort wurde die potenzielle Sicherheitslücke aber offenbar nicht als schwerwiegend genug erachtet, um sie per Update zu schließen, wie aus einer entsprechenden Antwort des Android-Sicherheitsteams hervorgeht.
Geänderte Links in iOS sichtbar
Bei iOS existiert das Problem übrigens auch, ist aber leichter erkennbar. Denn ein per breitenlosem Leerzeichen geänderter Link wird in einer anderen Farbe dargestellt. So ist etwa bei dem Amazon-Beispiel das klickbare „zon.com“ blau hinterlegt, der Täuschungsversuch für Nutzer:innen also sichtbarer.
