IOS 11 -fejl lader QR -koder narre dig til at besøge ondsindede websteder

Sikkerhedsforskere har opdaget endnu en fejl i iOS 11, der efterlader brugere sårbare over for ondsindede angreb.

Fejlen i den indbyggede QR-kodelæser kan udnyttes til at narre folk til at besøge ondsindede websteder, der i første omgang er forklædt som uskyldige.

Hvis du kører iOS 11 - som langt de fleste iPhone- og iPad -brugere har nu opgraderet til - så kan du peg dit kamera på QR -koder for at læse dem. Apples indbyggede kamera-app genkender nu automatisk koden, før du spørger, om du vil åbne den.

iOS 11s QR -kodefejl

Det er et praktisk værktøj, der negerer behovet for en tredjeparts QR-kodelæser, men det har brug for arbejde. Forskere på InfoSec har opdaget en fejl på den måde, læseren analyserer webadresser, der kan udnyttes til at føre brugere til ondsindede websteder.

Ved at integrere webadresser i et bestemt format kan en angriber narre iOS til at vise brugerne et websted, men derefter føre dem til et andet. For eksempel vil QR -koden herunder få iOS til at spørge dig, om du vil besøge Facebook, men når du åbner den, tager den dig til InfoSec -webstedet i stedet.

Det er let at forestille sig, hvordan angribere kan drage fordel af dette.

En QR -kode kan være integreret i en phishing -e -mail, der lover særlige tilbud eller freebies, når koden scannes. Brugere kan derefter blive ført til et ondsindet websted, der er designet til at se ægte ud, hvor de bliver narret til at aflevere følsomme oplysninger.

Hvordan iOS bliver narret

For at udnytte fejlen skal angribere blot integrere en URL i koden ved hjælp af et format som " https://xxx\@facebook.com: [email protected]/. ”

I dette tilfælde ser iOS webstedet som "facebook.com" - og det er alt det viser brugeren. Men når URL'en er indlæst i Safari, fører den faktisk til "infosec.rm-it.de."

InfoSec siger, at det rapporterede fejlen til Apple tilbage i december, men virksomheden har endnu ikke givet en løsning. Indtil problemet er rettet, anbefaler vi, at du dobbelttjekker webadresser i Safaris adresselinje for at bekræfte, at de er ægte efter at have scannet en QR-kode.