„iOS 11“ esančią „Camera“ aplikaciją „Apple“ papildė nauja QR kodų skenavimo ir atpažinimo funkcija. Ši funkcija leidžia „Camera“ aplikacijoje nukreipti „iPhone“ ar „iPad“ objektyvą į QR kodą ir aplikacija įvykdys QR kode pateiktas instrukcijas. Jei tai interneto svetainės adresas — bus atidaryta interneto svetainė. Nors „iOS“ prieš atidarydama interneto svetainę naudotojo paklausia ar šis nori ją atidaryti ir parodo svetainės adresą — „Camera“ aplikacijoje esanti klaida leidžia nesunkiai ją apgauti.
„Infosec“ kaip šios klaidos patvirtinimą savo svetainėje pateikia QR kodą, kurį nuskenavus su „iOS 11“ (aptikta iOS 11.2.1) „Camera“ aplikacija, ekrane bus parodytas pranešimas: „Open “facebook.com” in Safari“, tačiau iš tikro bus atidaroma svetainė, kurios adresas https://xxx@facebook.com:443@infosec.rm-it.de/.
Svetainėje demonstruojama, kaip nesunkiai galima apgauti „Camera“ aplikaciją ir tuo pačiu jos naudotoją. Galite pabandyti ir patys nuskenuoti QR kodą esantį „Infosec“ svetainėje. Svetainė į kurią nukreipiama nuskenavus „Infosec“ esantį kodą nėra kokia nors piktavalė, tai pačios „Infosec“ interneto puslapis ir skirtas tik įrodyti šios saugumo spragos egzistavimą, todėl galite pabandyti drąsiai.
Kuriant QR kodus su URL adresu padarytu principu https://xxx@facebook.com:443@infosec.rm-it.de/ — „Camera“ aplikacija naudotoją informuoja apie pirmoje adreso dalyje minimą URL kaip tą, kuris bus atidarytas, tačiau įvykdo antrą dalį (paklūstama tokio tipo URL atidarymo taisyklėms).
„Infosec“ teigia, kad apie šią saugumo spragą informavo „Apple“ dar 2017 metų gruodžio 23 dieną, tačiau klaida iki šiol nėra ištaisyta ir, atitinkamai, ji išlaukusi padorų laiko tarpą apie šią klaidą paskelbė viešai.

„iOS 11“ klaida „Camera“ aplikacijoje gali nukreipti į kenkėjiškus interneto puslapius

Komentarai