Apple News

Apple News

El error de iOS 11 permite que los códigos QR te engañen para que visites sitios web maliciosos

instagram viewer

El error de iOS 11 permite que los códigos QR te engañen para que visites sitios web maliciosos

Códigos QR
Tenga cuidado con los códigos QR incompletos si está utilizando iOS 11.
Foto: Thomas Leuthard /Flickr

Los investigadores de seguridad han descubierto otro error en iOS 11 que deja a los usuarios vulnerables a ataques maliciosos.

La falla en el lector de códigos QR incorporado se puede aprovechar para engañar a las personas para que visiten sitios web maliciosos que inicialmente se disfrazan de inocentes.

Si tiene iOS 11, que la gran mayoría de los usuarios de iPhone y iPad ahora se han actualizado a - entonces tú puedes apunte su cámara a los códigos QR para leerlos. La aplicación de cámara integrada de Apple ahora reconoce automáticamente el código antes de preguntarle si desea abrirlo.

Error del código QR de iOS 11

Es una herramienta útil que niega la necesidad de un lector de códigos QR de terceros, pero necesita trabajo. Investigadores de InfoSec he descubierto un defecto en la forma en que el lector analiza las URL que podrían explotarse para llevar a los usuarios a sitios web maliciosos.

Al incrustar URL en un formato determinado, un atacante puede engañar a iOS para que muestre a los usuarios un sitio web y luego los lleve a otro. Por ejemplo, el código QR a continuación hará que iOS le pregunte si desea visitar Facebook, pero cuando lo abra, lo llevará al sitio web de InfoSec.

Error de código QR de iOS 11
Escanee este código en iOS 11 para ver la falla por sí mismo.
Foto: InfoSec

Es fácil imaginar cómo los atacantes podrían aprovechar esto.

Se podría incrustar un código QR en un correo electrónico de phishing que promete ofertas especiales o regalos cuando se escanea el código. Los usuarios pueden ser dirigidos a un sitio web malicioso que está diseñado para parecer genuino, donde son engañados para que entreguen información confidencial.

Cómo se engaña a iOS

Para aprovechar la falla, los atacantes simplemente necesitan incrustar una URL en el código usando un formato como " https://xxx\@facebook.com: [email protected]/ ”.

En este caso, iOS ve el sitio web como "facebook.com", y eso es todo lo que muestra al usuario. Pero cuando la URL se carga en Safari, en realidad conduce a "infosec.rm-it.de".

InfoSec dice que informó del error a Apple en diciembre, pero la compañía aún no ha proporcionado una solución. Hasta que se solucione el problema, le recomendamos que vuelva a verificar las URL en la barra de direcciones de Safari para confirmar que son genuinas después de escanear un código QR.

click fraud protection

Categorías

Última publicación de blog

Parrot MiniDrone es la revelación de CES más codiciada hasta ahora [CES 2014]
October 21, 2021

Parrot MiniDrone es la revelación de CES más codiciada hasta ahora [CES 2014]Los periodistas acudieron en masa al stand de Parrot. Crédito: Eli Mil...

Todo lo que necesita saber sobre la desinfección de envases
October 21, 2021

Su hogar está limpio y desinfectado. Te lavas e hidratas las manos con regularidad y no has salido de casa en días. En todos los aspectos, está bas...

Apple lanza su MacBook Pro más rápido
October 21, 2021

Apple acaba de traer los últimos chips de octava y novena generación de Intel a la MacBook Pro, convirtiéndola en la computadora portátil más rápid...