iOS 11 viga võimaldab QR -koodidel meelitada teid pahatahtlikke veebisaite külastama
Foto: Thomas Leuthard/Flickr
Turvauurijad avastasid iOS 11 -s veel ühe vea, mis jätab kasutajad pahatahtlike rünnakute suhtes haavatavaks.
Sisseehitatud QR-koodi lugeja viga saab ära kasutada, et meelitada inimesi külastama pahatahtlikke veebisaite, mis on algselt süütud.
Kui kasutate iOS 11 - mida valdav enamus iPhone'i ja iPadi kasutajaid on nüüd üle viidud versioonile - siis saate suunake kaamera nende lugemiseks QR -koodidele. Apple'i sisseehitatud kaamerarakendus tuvastab nüüd koodi automaatselt, enne kui küsib, kas soovite selle avada.
iOS 11 QR -koodi viga
See on mugav tööriist, mis välistab vajaduse kolmanda osapoole QR-koodi lugeja järele, kuid see vajab tööd. InfoSeci teadlased avastanud vea viis, kuidas lugeja analüüsib URL -e, mida saaks kasutada kasutajate suunamiseks pahatahtlikele veebisaitidele.
Manustades URL -id teatud vormingusse, võib ründaja meelitada iOS -i näitama kasutajatele ühte veebisaiti, kuid seejärel suunama nad teisele. Näiteks paneb allolev QR -kood iOS -i küsima, kas soovite Facebooki külastada, kuid kui selle avate, suunab see teid hoopis InfoSeci veebisaidile.
Foto: InfoSec
On lihtne ette kujutada, kuidas ründajad võiksid seda ära kasutada.
Õngitsemismeilisse võib manustada QR -koodi, mis lubab koodi skannimisel eripakkumisi või tasuta pakkumisi. Seejärel võidakse kasutajad suunata ehtsa väljanägemisega pahatahtlikule veebisaidile, kus neid meelitatakse tundlikku teavet üle andma.
Kuidas iOS -i petta
Vea ärakasutamiseks peavad ründajad lihtsalt URL -i koodi sisestama sellises vormingus nagu „ https://xxx\@facebook.com: [email protected]/. ”
Sel juhul näeb iOS veebisaiti "facebook.com" - ja see on kõik, mida see kasutajale näitab. Kuid kui URL laaditakse Safaris, viib see tegelikult saidile „infosec.rm-it.de”.
InfoSec ütleb, et teatas veast Apple'ile juba detsembris, kuid ettevõte ei ole veel seda parandanud. Kuni probleemi lahendamiseni soovitame teil pärast QR-koodi skannimist kontrollida Safari aadressiribal olevaid URL-e, et veenduda nende ehtsuses.