| 26 марта 2018 г. — 4:00 PT
Уязвимость в QR-код ридере, встроенном в приложение камеры iOS, может позволить пользователям быть перенаправленными на вредоносный веб-сайт без их ведома.
Начиная с iOS 11, вы можете просто навести iPhone на QR-код, используя стандартное приложение камеры, и оно прочитает и выполнит действие с кодом. В случае встроенного URL-адреса веб-сайта, iOS показывает вам адрес ссылки и просит нажать, чтобы подтвердить, что вы хотите его посетить. Но вы можете посещать не ту ссылку, которая отображается…
Infosec обнаружил, что легко обмануть ридер таким образом, чтобы он отображал один URL, но посещал другой. Сайт демонстрирует это с помощью QR-кода, который спрашивает вас, хотите ли вы открыть facebook.com в Safari, но на самом деле перенаправляет вас на свой собственный сайт.
Если вы отсканируете [QR-код ниже] с помощью приложения камеры iOS (11.2.1), появится следующее уведомление:
Открыть “facebook.com” в Safari
Но если вы нажмете, чтобы открыть сайт, вместо этого откроется https://infosec.rm-it.de/
Чтобы добиться этого, достаточно встроить URL в следующем формате:
https://xxx@facebook.com:443@infosec.rm-it.de/
iOS отображает первый URL, но перенаправляет вас на второй. Вот QR-код, чтобы вы могли попробовать сами:
Сайт сообщает, что об этой ошибке сообщили Apple 23 декабря прошлого года, но она до сих пор не исправлена. Мы связались с Apple для получения комментариев и обновим статью в случае получения ответа. Вы можете ознакомиться с другими способами использования QR-кодов в нашей статье «10 лучших применений».
Подписывайтесь на 9to5Mac на YouTube для получения большего количества новостей об Apple: