Уязвимость в считывателе QR-кодов, который встроен в приложение камеры на iOS, может без спроса направлять пользователей на вредоносные веб-сайты. Об этом сообщает Infosec.
Начиная с iOS 11, владельцы iPhone могут просто навести смартфон на QR-код и он будет считан. В случае, если в QR встроен URL какого-либо сайта, iOS должна показать адрес ссылки и спросить, желает ли пользователь перейти по ней.
Infosec обнаружил, что систему можно легко обмануть: она будет отображать один URL-адрес, но посещать другой. Все происходит так: пользователь считывает QR-код, iOS спрашивает, нужно ли перейти, например, на facebook.com, владелец дает свое согласие, а в Safari открывается совсем другой сайт.
Для того, чтобы на себе испытать ошибку, нужно проделать все вышеперечисленные действия с этим QR-кодом:
Вместо facebook.com должен открыться портал https://infosec.rm-it.de/. Проблема все еще не устранена и присутствует, как минимум, в iOS 11.2.1. Как сообщается, Apple узнала о сбое еще 23 декабря 2017 года, но так и не исправила его.
iOS 11 — мобильная операционная система Apple, преемник iOS 10. ПО было представлено на WWDC 2017 года, релиз состоялся 19 сентября 2017 года. Самой новейшей на данный момент версией является iOS 11.2.6.
Подписывайтесь на наш канал, чтобы быть в курсе всех новостей!