Une faille encore active dans Android permet d’induire en erreur le système de suggestions de liens dans les notifications. En insérant des caractères invisibles, un message peut vous faire cliquer sur une URL différente de celle affichée. Et dans certains cas, déclencher une action sans que vous vous en rendiez compte.
- Une faille Android permet de tromper le système de suggestions de liens via des caractères invisibles, exposant les utilisateurs à des risques de phishing.
- Les caractères Unicode invisibles peuvent modifier l'URL réellement ouverte, redirigeant potentiellement vers des sites frauduleux sans alerte visuelle.
- En attendant un correctif, il est conseillé de vérifier manuellement les liens dans les notifications pour éviter les pièges.
Vous n’êtes pas sans savoir que le système de notifications d’Android intègre des suggestions automatiques en fonction du contenu affiché, comme la possibilité de répondre rapidement, de marquer un message comme lu ou d’ouvrir un lien sans avoir à passer par l’appli. Cette fonctionnalité, en principe pratique, présente toutefois une vulnérabilité sérieuse : certains caractères Unicode invisibles peuvent tromper le moteur de détection d’Android et provoquer un décalage entre le lien affiché et celui réellement ouvert. C’est ce qu’ont mis en évidence les équipes de io-no, qui ont documenté une faille encore active à ce jour, susceptible d’être exploitée à des fins malveillantes dans WhatsApp, Telegram, Slack, Discord et Instagram.
Une faille structurelle liée au traitement des caractères invisibles dans Android
Quand un interlocuteur partage une URL avec vous, il n’est pas rare qu’Android affiche automatiquement un bouton « Ouvrir le lien » dans la notification de l’application de messagerie, pour vous permettre d’accéder à la page web sans avoir à ouvrir le message reçu. Un gain de temps appréciable, mais qui peut aussi vous exposer à un risque insoupçonné. Car dans certaines situations, le lien réellement ouvert ne correspond pas à celui affiché, et peut vous rediriger, à votre insu, vers un site frauduleux.
D’après io-no, ce comportement inattendu repose sur l’insertion de caractères Unicode dits invisibles, comme U+200B. Ces caractères ne modifient pas l’apparence du texte à l’écran, mais ils perturbent le moteur d’analyse utilisé par Android pour extraire les liens. Lorsqu’ils sont placés à l’intérieur d’une URL, ils peuvent tromper le système, qui segmente alors le texte et ne retient qu’une adresse partielle, correspondant à la portion située après le caractère invisible.
Autrement dit, une URL apparemment classique comme amazon.com peut, en réalité, contenir un caractère invisible entre deux lettres – par exemple ama[U+200B]zon.com. À l’écran, rien ne laisse présager d’une anomalie : la notification affiche toujours amazon.com, le caractère inséré n’ayant aucun effet visuel. Mais lorsque Android analyse le message pour générer le bouton « Ouvrir le lien », il considère zon.com comme un lien distinct, et c’est vers cette adresse que la suggestion automatique redirige.
![Le lien visible semble légitime, mais le bouton « Open link » redirige en réalité vers une autre adresse, ici zon.com, à cause d’un caractère invisible inséré dans le texte (ama[ ]zon.com). © io-no](http://pic.clubic.com/e5daf49c2312046/1152x584/smart/ouvrir-lien-frauduleux.webp)
Évidemment, ce type de décalage peut facilement être exploité à des fins malveillantes. Une notification affichant une adresse familière peut en réalité rediriger vers un site frauduleux conçu pour imiter un service légitime et collecter identifiants, mots de passe ou informations bancaires. Le piège devient encore plus difficile à repérer lorsque l’URL affichée est raccourcie, masquant totalement la destination réelle.
Dans certains cas plus sensibles, la manipulation permet aussi de déclencher une action dans une application installée, en exploitant les deep links. Pour rappel, ce type de lien peut ouvrir une section spécifique d’une appli ou activer une fonctionnalité sans passer par son interface. Si l’application en question ne prévoit aucun dispositif de confirmation, l’action peut s’exécuter immédiatement après le clic sur la notification, à l’insu de la victime.
Et sur iOS ?
Le comportement observé n’est pas propre à Android. Sur iOS et iPadOS, les liens peuvent, eux aussi, être tronqués si un caractère invisible s’y glisse. Mais contrairement à Android, le système d’Apple applique un traitement visuel plus explicite : seule la portion réellement reconnue comme lien est soulignée et colorée. De quoi alerter plus facilement l’utilisateur ou l’utilisatrice sur un comportement suspect, même si le risque de confusion n’est pas totalement nul.
En attendant un patch pour Android, soyez prudent
La faille a été signalée à Google en mars 2025 par l’équipe de recherche de io-no, dans le cadre du programme de sécurité dédié à Android. Mais à ce jour, aucun patch n’a été déployé, et le comportement reste reproductible sur plusieurs versions récentes du système, y compris Android 16. En attendant une éventuelle mise à jour, il revient donc aux utilisateurs et aux utilisatrices de faire preuve de vigilance.
Le plus simple reste d’éviter d’utiliser le bouton « Ouvrir le lien » proposé en suggestion dans les notifications, et de s’astreindre à ouvrir le message pour contrôler la provenance et la nature de l’URL reçue.
En cas de doute, il est préférable de copier le lien manuellement dans la barre d’adresse du navigateur plutôt que de le lancer depuis une notification. Cela permet au passage de visualiser l’URL complète, et d’identifier d’éventuelles redirections suspectes ou des noms de domaine inhabituels. Même prudence face aux liens raccourcis, qui masquent totalement la destination réelle. Pour information, certains services comme CheckShortURL ou Unshorten.it permettent de les prévisualiser sans cliquer.
Enfin, comme toujours, maintenez vos applications à jour, en attendant que le problème soit pris en charge côté Android.
Source : io-no
