Sí, es posible. En general, hay dos formas principales de lograr esto:
- Ingeniería social. Engaña al usuario para que instale un software. La instalación de software que no se encuentra en las tiendas de aplicaciones es factible en Android, y mucho más difícil en iOS.
- Encuentre una vulnerabilidad que le permita instalar aplicaciones arbitrarias sin la interacción del usuario, o dejar que el navegador le filtre los datos deseados. El sandboxing intenta evitar las fugas de datos del navegador.
No es una tarea fácil, pero tampoco es del todo improbable.
La forma más fácil de mitigar el riesgo es no acceder a enlaces desconocidos o inesperados, o en el caso de que los mensajes provengan de un servicio, por ejemplo. su banco, acceda a ellos ingresando manualmente la dirección en el navegador. Esto mitigará por ejemplo ataques de Punycode .
TL; DR: el software puede tener agujeros de seguridad.