Le bogue iOS 11 permet aux codes QR de vous inciter à visiter des sites Web malveillants
Crédit photo: Thomas Leuthard/Flickr
Les chercheurs en sécurité ont découvert un autre bogue dans iOS 11 qui rend les utilisateurs vulnérables aux attaques malveillantes.
La faille du lecteur de code QR intégré peut être exploitée pour inciter les gens à visiter des sites Web malveillants qui sont initialement déguisés en innocents.
Si vous utilisez iOS 11 - que la grande majorité des utilisateurs d'iPhone et d'iPad sont maintenant passés à - Ensuite vous pouvez pointez votre appareil photo sur les codes QR pour les lire. L'application Appareil photo intégrée d'Apple reconnaît désormais automatiquement le code avant de vous demander si vous souhaitez l'ouvrir.
Bug du code QR d'iOS 11
C'est un outil pratique qui élimine le besoin d'un lecteur de code QR tiers, mais il a besoin de travail. Chercheurs chez InfoSec avoir découvert un défaut dans la manière dont le lecteur analyse les URL qui pourraient être exploitées pour conduire les utilisateurs vers des sites Web malveillants.
En incorporant des URL dans un certain format, un attaquant peut amener iOS à montrer aux utilisateurs un site Web, puis à les conduire vers un autre. Par exemple, le code QR ci-dessous amènera iOS à vous demander si vous souhaitez visiter Facebook, mais lorsque vous l'ouvrirez, il vous dirigera plutôt vers le site Web d'InfoSec.
![23D51A52 1313 40F9 A30B F62793465070 Bug du code QR iOS 11](/f/e876c680474d1ae90dda25d62c9e11ca.png)
Photo: InfoSec
Il est facile d'imaginer comment les attaquants pourraient en profiter.
Un code QR peut être intégré dans un e-mail de phishing qui promet des offres spéciales ou des cadeaux lorsque le code est scanné. Les utilisateurs peuvent alors être dirigés vers un site Web malveillant conçu pour paraître authentique, où ils sont amenés à transmettre des informations sensibles.
Comment iOS est dupé
Pour exploiter la faille, les attaquants doivent simplement intégrer une URL dans le code en utilisant un format tel que " https://xxx\@facebook.com: [email protected]/.
Dans ce cas, iOS voit le site Web comme "facebook.com" - et c'est tout ce qu'il montre à l'utilisateur. Mais lorsque l'URL est chargée dans Safari, elle mène en fait à « infosec.rm-it.de ».
InfoSec dit avoir signalé le bogue à Apple en décembre, mais la société n'a pas encore fourni de correctif. Jusqu'à ce que le problème soit résolu, nous vous recommandons de revérifier les URL dans la barre d'adresse de Safari pour confirmer qu'elles sont authentiques après avoir scanné un code QR.