Die QR-Code-Scan-Funktion in der Standard-Kamera-App weist einen merkwürdigen Parser-Fehler auf.
Beim Scannen führt ein speziell gestalteter QR-Code den Benutzer möglicherweise auf eine schädliche Website, anstatt auf die zugrunde liegende URL, die im Benachrichtigungsbanner angezeigt wurde.
Wie in einem neuen Bericht von Infosec beschrieben, gibt es einen Fehler im QR-Code-Parser von iOS 11, der es der Standard-Kamera-App ermöglicht, QR-Codes automatisch zu scannen und zu interpretieren.
LERNPROGRAMM: So verbinden Sie Wi-Fi-Netzwerke schnell mit der Kamera Ihres iPhones
Das Problem ist, dass ein speziell konstruierter QR-Code einen unverdächtigen Hostnamen in einem Benachrichtigungsbanner anzeigt, aber eine andere URL in Safari öffnet.
Sie können dies selbst ausprobieren, indem Sie den unten eingebetteten QR-Code mit der Standardkamera-App auf iOS 11 scannen (Hinweis: QR-Codes scannen muss aktiviert sein in Einstellungen → Kamera).
Nach dem Scannen des Codes wird im Benachrichtigungsbanner die Meldung "Facebook.com in Safari öffnen" angezeigt. Wenn Sie jedoch darauf tippen, wird die Website https://infosec.rm-it.de/ geöffnet..
Wie sich herausstellt, kann dies durch Einbetten der URL im Format https: // xxx \ @ facebook.com: [email protected]/ erreicht werden, wobei der Parser die erste URL anzeigt, die Benachrichtigung jedoch tatsächlich bringe dich zur anderen URL.
Auch QR-Code-Lesegeräte von Drittanbietern sind von diesem Problem betroffen.
Tatsächlich setzen Sie einige dieser Apps einem höheren Risiko aus, indem Sie den Link unmittelbar nach dem Scannen des Codes automatisch öffnen. Andere QR-Codescanner von Drittanbietern können einfach abstürzen.
Dieses Problem wurde dem Apple-Sicherheitsteam am 23. Dezember 2017 gemeldet, aber bis heute nicht behoben. Nachdem die Apple-Blogosphäre auf diese potenziell schwerwiegende Sicherheitsanfälligkeit aufmerksam gemacht hat, sollte Apple hoffentlich bald ein Update veröffentlichen.
Die Kamera-App unter iOS 11 erkennt verschiedene QR-Codes, einschließlich HomeKit-Setup-Codes, Kontakte, Kalender, Karten, Nachrichten, Netzwerkeinstellungen, Websites, Rückruf-URLs usw..
Haben Sie schon versucht, den QR-Code von iOS 11 zu scannen??
Lass es uns in den Kommentaren wissen.