Apple News

Apple News

Le bogue iOS 11 permet aux codes QR de vous inciter à visiter des sites Web malveillants

instagram viewer

Le bogue iOS 11 permet aux codes QR de vous inciter à visiter des sites Web malveillants

QR codes
Méfiez-vous des codes QR sommaires si vous utilisez iOS 11.
Crédit photo: Thomas Leuthard/Flickr

Les chercheurs en sécurité ont découvert un autre bogue dans iOS 11 qui rend les utilisateurs vulnérables aux attaques malveillantes.

La faille du lecteur de code QR intégré peut être exploitée pour inciter les gens à visiter des sites Web malveillants qui sont initialement déguisés en innocents.

Si vous utilisez iOS 11 - que la grande majorité des utilisateurs d'iPhone et d'iPad sont maintenant passés à - Ensuite vous pouvez pointez votre appareil photo sur les codes QR pour les lire. L'application Appareil photo intégrée d'Apple reconnaît désormais automatiquement le code avant de vous demander si vous souhaitez l'ouvrir.

Bug du code QR d'iOS 11

C'est un outil pratique qui élimine le besoin d'un lecteur de code QR tiers, mais il a besoin de travail. Chercheurs chez InfoSec avoir découvert un défaut dans la manière dont le lecteur analyse les URL qui pourraient être exploitées pour conduire les utilisateurs vers des sites Web malveillants.

En incorporant des URL dans un certain format, un attaquant peut amener iOS à montrer aux utilisateurs un site Web, puis à les conduire vers un autre. Par exemple, le code QR ci-dessous amènera iOS à vous demander si vous souhaitez visiter Facebook, mais lorsque vous l'ouvrirez, il vous dirigera plutôt vers le site Web d'InfoSec.

Bug du code QR iOS 11
Scannez ce code dans iOS 11 pour voir la faille par vous-même.
Photo: InfoSec

Il est facile d'imaginer comment les attaquants pourraient en profiter.

Un code QR peut être intégré dans un e-mail de phishing qui promet des offres spéciales ou des cadeaux lorsque le code est scanné. Les utilisateurs peuvent alors être dirigés vers un site Web malveillant conçu pour paraître authentique, où ils sont amenés à transmettre des informations sensibles.

Comment iOS est dupé

Pour exploiter la faille, les attaquants doivent simplement intégrer une URL dans le code en utilisant un format tel que " https://xxx\@facebook.com: [email protected]/.

Dans ce cas, iOS voit le site Web comme "facebook.com" - et c'est tout ce qu'il montre à l'utilisateur. Mais lorsque l'URL est chargée dans Safari, elle mène en fait à « infosec.rm-it.de ».

InfoSec dit avoir signalé le bogue à Apple en décembre, mais la société n'a pas encore fourni de correctif. Jusqu'à ce que le problème soit résolu, nous vous recommandons de revérifier les URL dans la barre d'adresse de Safari pour confirmer qu'elles sont authentiques après avoir scanné un code QR.

click fraud protection

Catégories

Dernier article de blog

Écrivez des chansons entraînantes dans votre navigateur avec Hookpad 2
September 11, 2021

Hookpad est une application Web pour la composition musicale, et c'est aussi un excellent moyen d'apprendre la théorie musicale. Hookpad et son app...

Phil Schiller explique les iPhones 16 Go, les MacBooks avec un port USB, le design vs. vie de la batterie
September 11, 2021

Pourquoi le dernier iPhone est-il toujours livré avec seulement 16 Go de stockage en standard? Pourquoi le nouveau MacBook n'a-t-il qu'un seul port...

| Culte de Mac
September 11, 2021

L'administration Trump fait un premier pas vers la réglementation de Facebook, GoogleLe gouvernement américain pourrait bientôt regarder par-dessus...