Funktionen för skanning av QR-kod i arkivet Kameraprogram lider av ett udda parser-fel.
När den skannas kan en speciellt tillverkad QR-kod ta användaren till en skadlig webbplats istället för vilken underliggande URL som visas i meddelandebanret..
Såsom beskrivs i en ny rapport från Infosec finns det ett fel i iOS 11s QR-kodkodare som gör det möjligt för aktiekameran att automatiskt skanna QR-koder och tolka dem.
HANDLEDNING: Hur du snabbt går med i Wi-Fi-nätverk med din iPhone-kamera
Problemet är att en speciellt konstruerad QR-kod visar ett unsuspicious värdnamn i ett meddelande banner men öppnar en annan URL i Safari.
Du kan prova detta själv genom att skanna QR-koden inbäddad nedan med aktiekameraprogrammet på iOS 11 (Obs: Skanna QR-koder måste vara aktiverat i Inställningar → Kamera).
När du skannar koden visas meddelandet "Öppna 'facebook.com' i Safari" i meddelandebanret, men genom att trycka på den istället öppnar webbplatsen https://infosec.rm-it.de/.
Det visar sig att detta kan uppnås genom att bädda in URL: n i formatet https: // xxx \ @ facebook.com: [email protected]/ där parsaren visar den första URL: en men meddelandet kommer faktiskt tar dig till den andra webbadressen.
Tredjeparts QR-kodläsare är också mottagliga för den här frågan.
Faktum är att vissa av dessa appar faktiskt ställer dig större risk genom att automatiskt öppna länken omedelbart efter skanning av koden. Andra QR-kodskannrar från tredje part kan helt enkelt krascha.
Det här problemet har rapporterats till Apple-säkerhetsteamet den 23 december 2017, men har inte åtgärdats idag. Nu när Apple blogosfär har lyfts fram denna potentiellt allvarliga sårbarhet bör Apple förhoppningsvis släppa en fix snart.
Kameraprogrammet på iOS 11 känner igen olika QR-koder, inklusive HomeKit-inställningskoder, kontakter, kalendrar, kartor, meddelanden, nätverksinställningar, webbplatser, återuppringningsadresser osv..
Har du provat iOS 11s QR-kodskanning ännu?
Låt oss veta i kommentarerna.
