Funcția de scanare a codurilor QR din aplicația Cameră de stoc suferă de o eroare de analiză ciudată.
Când este scanat, un cod QR special conceput poate duce utilizatorul pe un site web rău intenționat, în loc de orice URL de bază a fost afișat în bannerul de notificare.
Așa cum este detaliat într-un nou raport al Infosec, există o eroare în analizorul de coduri QR al iOS 11 care permite aplicației Cameră stoc să scaneze coduri QR și să le interpreteze automat.
TUTORIAL: Cum să vă alăturați rapid rețelelor Wi-Fi folosind Camera iPhone a iPhone-ului
Problema este că un cod QR special construit va afișa un nume de gazdă nesuferit într-un banner de notificare, dar va deschide o altă adresă URL în Safari.
Puteți încerca singur acest lucru scanând codul QR încorporat mai jos cu aplicația Cameră stoc pe iOS 11 (notă: Scanați codurile QR trebuie să fie activat în Setări → Cameră foto).
La scanarea codului, mesajul „Deschide„ facebook.com ”în Safari apare în banner-ul de notificări, dar atingeți-l în loc deschide site-ul https://infosec.rm-it.de/.
După cum se dovedește, acest lucru se poate realiza prin încorporarea adresei URL în format https: // xxx \ @ facebook.com: [email protected]/ unde parserul va afișa prima adresă URL, dar notificarea va fi efectiv te duce la cealaltă adresă URL.
Cititorii de coduri terțe părți sunt, de asemenea, susceptibili la această problemă.
De fapt, unele dintre aceste aplicații vă pun în risc mai mare prin deschiderea automată a legăturii imediat după scanarea codului. Alte scanere de coduri QR ale unor terțe părți se pot bloca pur și simplu.
Această problemă a fost semnalată echipei de securitate Apple pe 23 decembrie 2017, dar nu a fost remediată până astăzi. Acum, când blogosfera Apple a evidențiat această vulnerabilitate potențial gravă, Apple ar trebui să lansăm în curând o soluție.
Aplicația Camera de pe iOS 11 recunoaște coduri QR variate, inclusiv coduri de configurare HomeKit, contacte, calendare, hărți, mesaje, setări de rețea, site-uri web, adrese URL de apelare și așa mai departe.
Ați încercat încă scanarea codurilor QR ale iOS 11?
Spuneți-ne în comentarii.
