La funzione di scansione del codice QR nell'app Camera originale soffre di uno strano bug del parser.
Quando sottoposto a scansione, un codice QR appositamente predisposto può indirizzare l'utente a un sito Web dannoso anziché a qualsiasi URL sottostante visualizzato nel banner di notifica.
Come dettagliato in un nuovo rapporto di Infosec, c'è un bug nel parser di codici QR di iOS 11 che consente all'app Fotocamera di scorta di scansionare automaticamente i codici QR e interpretarli.
TUTORIAL: Come accedere rapidamente alle reti Wi-Fi usando la fotocamera del tuo iPhone
Il problema è che un codice QR appositamente costruito mostrerà un nome host insospettabile in un banner di notifica ma aprirà un altro URL in Safari.
Puoi provarlo tu stesso scansionando il codice QR incorporato di seguito con l'app Fotocamera di serie su iOS 11 (nota: Scansione di codici QR deve essere abilitato in Impostazioni → Fotocamera).
Al momento della scansione del codice, il messaggio "Apri" facebook.com "in Safari" appare nel banner di notifica ma toccandolo invece si apre il sito Web https://infosec.rm-it.de/.
A quanto pare, ciò può essere ottenuto incorporando l'URL nel formato https: // xxx \ @ facebook.com: [email protected]/ dove il parser visualizzerà il primo URL ma la notifica verrà effettivamente ti porta all'altro URL.
Anche i lettori di codici QR di terze parti sono sensibili a questo problema.
In effetti, alcune di queste app ti mettono maggiormente a rischio aprendo automaticamente il link immediatamente dopo la scansione del codice. Altri scanner di codici QR di terze parti potrebbero semplicemente bloccarsi.
Questo problema è stato segnalato al team di sicurezza di Apple il 23 dicembre 2017, ma non è stato risolto da oggi. Ora che la blogosfera di Apple ha messo in evidenza questa vulnerabilità potenzialmente grave, Apple dovrebbe sperare di rilasciare presto una correzione.
L'app Fotocamera su iOS 11 riconosce vari codici QR, inclusi codici di configurazione di HomeKit, contatti, calendari, mappe, messaggi, impostazioni di rete, siti Web, URL di richiamata e così via.
Hai già provato la scansione del codice QR di iOS 11?
Fateci sapere nei commenti.