iOS 11 to chyba najgorzej dopracowany system mobilny w historii Apple'a, a oto kolejne potwierdzenie tego faktu.
Tym razem znaleziono lukę w czytniku kodów QR, który jest wbudowany w aplikację fotograficzną systemu iOS. Pozwala ona na skierowanie użytkownika na złośliwą witrynę bez ich wiedzy.
w iOS 11 wystarczy skierować aparat fotograficzny na kod QR przy użyciu standardowej aplikacji do robienia zdjęć, by odczytać ten kod i uruchomić jego zawartość, na przykład przekierowanie do strony internetowej. Zobaczymy przy tym pytanie, czy chcemy przejść na stronę o podanym adresie. Gdy dotkniemy linku, strona ta zostanie wczytana. Jest jednak jedno ale...
Serwis Infosec odkrył, że łatwo jest oszukać użytkownika, pokazując mu jeden adres, a odwiedzając inny. Właściciel iPhone'a może więc myśleć, że odwiedza zupełnie bezpieczną witrynę, podczas gdy w rzeczywistości nastąpi przejście na zupełnie inną stronę internetową, na przykład zawierającą złośliwy kod służący do wykradania danych z pamięci telefonu.
Problem został zgłoszony firmie Apple już 23 grudnia ubiegłego roku, ale wciąż nie został naprawiony. Poniżej zamieszczamy przykładowy kod QR, który - jak twierdzi Infosec - spowoduje u użytkowników systemu iOS 11.2.1 wyświetlenie zapytania, czy ten chce przejść do strony facebook.com. W rzeczywistości zostanie otwarta strona https://infosec.rm-it.de/. Osiągnięto to poprzez osadzenie w kodzie adresu w formacie: https://[email protected]:[email protected]/ - taki kod zostaje odczytany przez aplikację Skaner Kodów QR, zainstalowaną w smartfonie z Androidem.
Źródło tekstu: Infosec, wł
