Funksjonen for skanning av QR-kode i aksjekamera-appen lider av en merkelig parserfeil.
Når du skannes, kan en spesiallaget QR-kode føre brukeren til et ondsinnet nettsted i stedet for hvilken underliggende URL som ble vist i varslingsbanneret..
Som detaljert i en ny rapport av Infosec, er det en feil i iOS 11s QR-kodeparer som lar aksjekamera-appen automatisk skanne QR-koder og tolke dem.
OPPLÆRINGEN: Hvordan du raskt blir med på Wi-Fi-nettverk ved å bruke iPhone-kameraet
Problemet er, en spesialkonstruert QR-kode vil vise et unsuspicious vertsnavn i et varslingsbanner, men åpne en annen URL i Safari.
Du kan prøve dette selv ved å skanne QR-koden som er innebygd nedenfor med aksjekamera-appen på iOS 11 (merk: Skann QR-koder må være aktivert i Innstillinger → Kamera).
Når du skanner koden, vises meldingen "Åpne 'facebook.com' i Safari" i varselbanneret, men ved å trykke på den i stedet åpnes nettstedet https://infosec.rm-it.de/.
Som det viser seg, kan dette oppnås ved å legge inn URL-en i formatet https: // xxx \ @ facebook.com: [email protected]/ der parseren vil vise den første URL-en, men varselet vil faktisk tar deg til den andre nettadressen.
Tredjeparts QR-kodelesere er også utsatt for dette problemet.
Faktisk setter noen av disse appene deg i større risiko ved automatisk å åpne lenken umiddelbart etter skanning av koden. Andre tredjeparts QR-kodeskannere kan ganske enkelt krasje.
Dette problemet er rapportert til Apple-sikkerhetsteamet 23. desember 2017, men har ikke blitt løst per i dag. Nå som Apple-blogosfæren har fremhevet denne potensielt alvorlige sårbarheten, bør Apple forhåpentligvis gi ut en løsning snart.
Camera-appen på iOS 11 gjenkjenner varierte QR-koder, inkludert HomeKit-oppsettkoder, kontakter, kalendere, kart, meldinger, nettverksinnstillinger, nettsteder, tilbakeringingsadresser og så videre.
Har du prøvd iOS 11s QR-kodeskanning ennå?
Gi oss beskjed i kommentarene.
