Cẩn thận với ký tự vô hình khi mở đường link trên điện thoại

Anh Tú30/06/2025 13:00
Cẩn thận với ký tự vô hình khi mở đường link trên điện thoại

Chuyên gia bảo mật Gabriele Digregorio đã phát hiện một lỗ hổng tiềm ẩn trên hệ điều hành Android, có thể bị tin tặc khai thác để thực hiện các cuộc tấn công lừa đảo (phishing).

hacker.jpg
Hacker tận dụng mọi lỗ hổng để đánh cắp thông tin người dùng

Tấn công “homoglyph” – Đòn đánh từ những ký tự trông giống nhau

Trong những năm gần đây, các cuộc tấn công “homoglyph” ngày càng phổ biến. Tin tặc đánh lừa người dùng truy cập vào trang web giả mạo có tên miền trông giống hệt với trang web thật, thông qua việc thay thế các ký tự quen thuộc bằng ký tự tương tự trong bảng Unicode.

Ví dụ: chữ “a” trong bảng chữ cái Cyrillic (а) trông gần như giống hệt chữ “a” trong bảng chữ Latin, nhưng thực chất là hai ký tự khác nhau.

Ngoài việc thay ký tự, kẻ tấn công còn có thể chèn các ký tự "vô hình" như "zero-width space" (U+200B) để đánh lừa người dùng. Ví dụ: Liên kết trông như “amazon.com” có thể bị biến tấu thành “ama(ký tự vô hình)zon.com”, nhưng khi hiển thị, người dùng chỉ thấy “zon.com”, dễ bị đánh lừa rằng đây là một trang hợp lệ.

Điều này cũng giúp che giấu URL thật khi sử dụng các liên kết rút gọn, khiến người dùng dễ nhấp vào liên kết nguy hiểm. Theo Digregorio, một biến thể đặc biệt của kiểu tấn công này có thể thực hiện được trong một số ứng dụng phổ biến như WhatsApp, Telegram, Slack trên điện thoại Android.

Tấn công qua gợi ý liên kết trong thông báo

Digregorio đặc biệt cảnh báo về các liên kết hiển thị trong phần thông báo của ứng dụng — nơi người dùng thường nhanh chóng nhấn vào liên kết mà không kiểm tra kỹ.

Ông đã kiểm nghiệm hành vi này trên các ứng dụng như WhatsApp, Telegram, Instagram, Discord và Slack. Ví dụ: WhatsApp có thể bị đánh lừa bằng ký tự vô hình, nhưng Telegram thì không bị ảnh hưởng bởi kiểu tấn công này.

Hiện tại, người dùng Android không thể làm gì nhiều ngoài việc thận trọng khi nhấp vào các liên kết hiển thị trong thông báo. Digregorio đã báo cáo lỗ hổng này cho Google vào tháng 3.2025. Tuy nhiên, nhóm bảo mật Android cho rằng lỗ hổng này không đủ nghiêm trọng để phát hành bản cập nhật vá lỗi.

Vấn đề tương tự cũng tồn tại trên hệ điều hành iOS, nhưng dễ phát hiện hơn. Nếu một liên kết bị chèn ký tự "zero-width space", phần liên kết bị đánh lừa (ví dụ “zon.com”) sẽ được tô màu khác (thường là màu xanh dương). Điều này giúp người dùng nhận ra dấu hiệu bất thường và tránh bị lừa nhấp vào các liên kết giả mạo.

Ký tự vô hình là gì?

Ký tự vô hình "zero-width space" (U+200B) là một ký tự đặc biệt trong bảng mã Unicode, được thiết kế để không chiếm bất kỳ không gian hiển thị nào trên màn hình hay khi in ra. Đúng như tên gọi, nó có "độ rộng bằng không".

Mục đích chính của U+200B là cung cấp một điểm mà tại đó trình duyệt hoặc trình xử lý văn bản có thể ngắt dòng (xuống hàng) nếu cần thiết, mà không hiển thị một khoảng trắng hay dấu gạch nối. Điều này đặc biệt hữu ích trong các ngôn ngữ không sử dụng khoảng cách để phân tách các từ (ví dụ: tiếng Thái, tiếng Nhật, tiếng Trung Quốc) hoặc để cho phép ngắt dòng trong các từ rất dài trong các ngôn ngữ khác. Do tính chất vô hình của nó, U+200B có thể được sử dụng cho nhiều mục đích khác nhau.

Định dạng văn bản và khả năng đọc: Giúp trình duyệt ngắt dòng các từ dài hoặc trong các ngôn ngữ không có dấu cách; kiểm soát cách các từ hoặc cụm từ hiển thị mà không làm thay đổi cấu trúc của chúng (ví dụ, để đảm bảo một dòng văn bản không bị tràn ra ngoài).

Tránh các liên kết tự động hoặc định dạng đặc biệt: Trong một số nền tảng (ví dụ: Twitter, diễn đàn), nếu bạn gõ @username hoặc #hashtag, nó sẽ tự động biến thành một liên kết. Bằng cách chèn U+200B giữa @ hoặc # và văn bản (ví dụ: @\u200busername), bạn có thể hiển thị ký tự đó mà không kích hoạt liên kết. Điều này hữu ích khi bạn muốn đề cập đến cú pháp mà không muốn nó trở thành liên kết hoạt động. Tương tự, có thể ngăn chặn các tính năng tự động định dạng như "ligature" (nối chữ) trong một số font chữ.

Ẩn thông tin (Steganography): Đây là một ứng dụng tiêu cực và đáng lo ngại. Do ký tự này vô hình, nó có thể được sử dụng để:

Nhúng dữ liệu ẩn: Một chuỗi các ký tự U+200B có thể được sử dụng để mã hóa dữ liệu nhị phân (0 và 1) và giấu vào giữa một văn bản bình thường. Điều này có thể được dùng để tạo "dấu vân tay" (fingerprint) cho tài liệu, theo dõi nguồn gốc rò rỉ thông tin, hoặc thậm chí là ẩn tin nhắn bí mật.

Vượt qua bộ lọc từ khóa/kiểm duyệt: Kẻ gian có thể chèn U+200B vào giữa các chữ cái của một từ cấm (ví dụ: "t\u200biền \u200bgửi" thay thế cho từ cấm là tiền gửi) để qua mặt các hệ thống kiểm duyệt tự động mà vẫn giữ được ý nghĩa rõ ràng đối với con người.

Lừa đảo: Chèn các ký tự vô hình vào URL hoặc tên người dùng có thể tạo ra các liên kết hoặc tên hiển thị trông giống hệt bản gốc, nhưng thực chất lại dẫn đến trang web giả mạo hoặc tài khoản lừa đảo.

 


Gửi bình luận
(0) Bình luận
1

Cách vô hiệu hóa việc Facebook âm thầm truy cập toàn bộ ảnh trên điện thoại

Người dùng Facebook lo ngại khi Meta tự động bật tính năng cho phép ứng dụng truy cập và phân tích thư viện ảnh, từ siêu dữ liệu đến nội dung hình ảnh, để đưa ra gợi ý cá nhân hóa.
2

Điện thoại không bí mật nghe lén như chúng ta tưởng, nhưng sự thật còn nguy hiểm và đáng lo hơn nhiều

Dù không chia sẻ, nhưng những thông tin riêng tư của chúng ta trong điện thoại có thể đã rơi vào tay của một bên thứ ba.
3

Google Dịch có thể dịch hội thoại trực tiếp theo thời gian thực

Google Dịch cho phép dịch hội thoại trực tiếp và luyện ngôn ngữ tương tác ngay trên ứng dụng theo thời gian thực.
4

Đây là cách nhanh nhất để đẩy con cái vào bi kịch

Nghe qua, đó là tình yêu. Nhưng trên thực tế, không ít người đã vô tình đẩy con vào một tương lai bi kịch chỉ vì yêu sai cách.
5

AI thay đổi cách con người lên kế hoạch du lịch như thế nào?

Ngành du lịch toàn cầu đang chứng kiến một sự chuyển mình mạnh mẽ, nơi công nghệ không chỉ là công cụ hỗ trợ mà định hình hành trình khám phá thế giới của mỗi du khách.

Những lo ngại khi Facebook muốn truy cập vào thư viện ảnh trên điện thoại

Facebook đang yêu cầu người dùng cho phép truy cập vào thư viện ảnh trên điện thoại để tự động đề xuất các phiên bản ảnh được chỉnh sửa bằng AI, gồm cả những bức ảnh chưa từng được tải lên Facebook.

Thủ đoạn thao túng tâm lý người trẻ để bắt cóc online, tống tiền qua mạng

Kẻ gian không dùng súng hay dao, mà dùng tâm lý để khiến nạn nhân tự mở két”, Thượng tá Đào Trung Hiếu cảnh báo về thủ đoạn lừa đảo mới, khi nạn nhân bị thao túng tâm lý như bị “bắt cóc tinh thần”.

Một tính năng cực hữu ích trên VNeID mà người dùng không nên bỏ qua

Hành khách bay nội địa hiện nay có thể hoàn tất toàn bộ thủ tục từ mua vé, check-in, qua cửa an ninh đến lên máy bay mà không cần xuất trình giấy tờ tùy thân, nhờ ứng dụng nhận diện khuôn mặt qua VNeID.

Địa chỉ, điện thoại bộ phận một cửa ở 168 phường, xã, đặc khu của TP.HCM

UBND TP.HCM vừa có thông báo về địa điểm, số điện thoại đường dây nóng của bộ phận một cửa tại các phường, xã, đặc khu của TPHCM (mới).

Địa chỉ, điện thoại bộ phận một cửa cấp tỉnh của các sở, ngành TP.HCM

UBND TP.HCM vừa có thông báo về địa điểm, số điện thoại đường dây nóng của bộ phận một cửa tại các sở, ngành, phường, xã, đặc khu của TPHCM mới.

Thời đại SEO liệu có kết thúc và quảng cáo bằng AI tạo sinh có đang lên ngôi?

Với SEO, nội dung thường được xây dựng theo công thức, bắt đầu từ việc chọn từ khóa, triển khai nội dung, chờ Google index, rồi điều chỉnh dần. Nhưng với AI tạo sinh, nội dung không chỉ là văn bản mô tả sản phẩm.

Xác thực đăng nhập qua SMS rất rủi ro, thay bằng cách nào?

Xác thực qua SMS đang bị xem là một trong những phương thức bảo mật yếu nhất hiện nay.

CapCut thay đổi điều khoản sử dụng khiến người dùng lo lắng

CapCut đang "âm thầm" thay đổi điều khoản dịch vụ đối với quyền sử dụng khuôn mặt, giọng nói và nội dung của người dùng, làm dấy lên lo ngại trong cộng đồng.

Cuộc hội thoại thú vị của tỷ phú Elon Musk – Hoá ra đây là tư duy của người giàu, biến nguy thành cơ

Phong cách sống - Ứng Hà Chi - 03/09/2025 13:00
Đây đều là bí quyết giúp Elon Musk làm được những điều vĩ đại.

Xem Sex Education, tôi bật khóc khi nghĩ tới người bạn thân: Thật sai lầm khi đã im lặng!

Điện ảnh - Lam Chi - 03/09/2025 12:00
Xem phim “Sex Education” giúp tôi rút ra được những bài học cho cuộc sống.

Nếu có 1 cậu con trai thuộc Gen Alpha, bố mẹ nên nuôi dạy con thế nào?

Kỹ năng - Mạn Ngọc - 03/09/2025 11:00
Đây là thế hệ “công dân số” thực thụ, thông minh, nhạy bén nhưng cũng dễ chịu tác động từ môi trường xung quanh. Vì vậy, bố mẹ cần định hướng thật khéo léo để con phát triển toàn diện.

Khoảnh khắc Mỹ Tâm đặt tay lên ngực áo, hát về Tổ quốc ở đại lễ 2/9 gây sốt

Truyền cảm hứng - Quỳnh Tâm - 03/09/2025 10:24
Giữa Quảng trường Ba Đình lịch sử, Mỹ Tâm đặt tay lên ngực áo, cất vang tiếng hát đầy tự hào. Khoảnh khắc này nhanh chóng lan tỏa trong đại lễ Quốc khánh 2/9.

Cô gái 9x miệt mài 6 năm lặn lội sông suối tìm cách khôi phục nghề cổ 500 năm

Phong cách sống - Diệp Anh - 03/09/2025 10:00
Từ bỏ cuộc sống công sở, không kết hôn cũng chẳng giao thiệp nhiều, Giang Hân (sinh năm 1992) dấn thân vào hành trình phục dựng những tuyệt tác gốm sứ cổ.

Thuyết Mặc kệ họ - Liệu có phải là chìa khóa đến bình yên tuyệt đối trong thế giới đầy áp lực?

Từ sách - Phim - Minh Hằng - 03/09/2025 09:00
Mỗi ngày mạng xã hội không ngừng "nạp" vào tâm trí bạn những hình ảnh về sự hoàn hảo, thành công, và hạnh phúc. Để rồi bạn thường xuyên bị cuốn vào một vòng xoáy so sánh, lo âu và áp lực phải đáp ứng những kỳ vọng từ bên ngoài...

X6 Điệp viên hoàn hảo - Tình yêu và giấc mơ của một nhà báo, tình báo huyền thoại

Từ sách - Phim - Thu An - 03/09/2025 08:00
“X6 Điệp viên hoàn hảo”- thiếu tướng tình báo Phạm Xuân Ẩn - có lẽ không quá xa lạ trong sự hiểu biết của nhiều người. Nhưng chắc rằng, chưa ai có thể hiểu được tận cùng con người và cuộc đời hoạt động tình báo huyền thoại của ông.

Đan Mạch miễn thuế sách vì 1/4 học sinh 15 tuổi ‘yếu’ khả năng đọc hiểu văn bản đơn giản

Suy ngẫm - Băng Băng - 02/09/2025 13:00
Từng là nước áp mức thuế VAT với sách cao nhất Châu Âu, Đan Mạch đang phải thay đổi vì khủng hoảng đọc ở giới trẻ.

Tổng Bí thư Tô Lâm: Không gì có thể ngăn chúng ta vươn tới hòa bình, thịnh vượng

Suy ngẫm - NLĐ - 02/09/2025 12:19
Tại Lễ kỷ niệm 80 năm Quốc khánh, Tổng Bí thư Tô Lâm khẳng định không gì có thể ngăn chúng ta vươn tới hòa bình, thịnh vượng, dân tộc ta trường tồn, phát triển

Tại sao người lớn trong Doraemon luôn mờ nhạt? - Tiết lộ của tác giả có thể sẽ khiến bạn bất ngờ

Điện ảnh - Trang Vũ - 02/09/2025 12:00
Không chỉ là bộ truyện của trẻ con, Doraemon còn mang nhiều ý nghĩa sâu xa khác.

AI thay đổi cách con người lên kế hoạch du lịch như thế nào?

Kỹ năng - Nhật Hạ - 02/09/2025 11:00
Ngành du lịch toàn cầu đang chứng kiến một sự chuyển mình mạnh mẽ, nơi công nghệ không chỉ là công cụ hỗ trợ mà định hình hành trình khám phá thế giới của mỗi du khách.

Tiến sĩ Mai Liêm Trực và 'cái vỗ vai' và quyết định lịch sử đưa Internet vào Việt Nam

Truyền cảm hứng - Nam Đoàn, Thế Anh - Dân Trí - 02/09/2025 10:00
Việc chính thức kết nối Internet toàn cầu vào năm 1997 được xem là một trong những dấu mốc quan trọng nhất trong quá trình đổi mới và hội nhập quốc tế của Việt Nam.

X6 Điệp viên hoàn hảo – Giải mã những bí ẩn về người hùng thầm lặng Phạm Xuân Ẩn

Từ sách - Phim - Nguyễn Hoa - Bookademy - 02/09/2025 09:00
Trong dòng chảy của lịch sử Việt Nam, có những câu chuyện, những con người mãi mãi trở thành huyền thoại, định hình nên bản sắc và tinh thần của dân tộc. Một trong số đó là Phạm Xuân Ẩn, điệp viên hoàn hảo mang mật danh X6.

Chân trần Chí thép – Khi sức mạnh không chỉ đến từ vũ khí tối tân

Từ sách - Phim - Quìn - 02/09/2025 08:00
Có những cuốn sách không chỉ để đọc, mà còn để sống cùng tinh thần mà nó khơi gợi. Chân Trần, Chí Thép của James G. Zumwalt chính là một tác phẩm như vậy.

Để trở thành người mẹ tốt, hi sinh không phải là cách duy nhất để yêu thương

Phong cách sống - Tích Thành - 01/09/2025 13:00
Trong hành trình làm mẹ, nhiều phụ nữ đánh mất chính mình vì nghĩ rằng hi sinh là điều hiển nhiên. Nhưng sự thật là: Mẹ hạnh phúc thì gia đình mới hạnh phúc. Và điều đó bắt đầu từ việc biết giữ lại chính mình.
HẠT GIỐNG TÂM HỒN
2019 Bản quyền thuộc về hatgiongtamhon.com.vn. Phát triển bởi ONECMS
Thứ 4, 03/09/2025