Обнаружена уязвимость сканера QR-кодов в iOS 11. Насколько это опасно?

30

Уязвимость встроенного в приложение «Камера» считывателя QR-кодов позволяет направлять пользователей на скомпрометированные веб-сайты, выдавая их за безопасные. Об этом сообщают исследователи Infosec, обнаружившие проблему еще в декабре прошлого года, но так и не дождавшиеся исправлений.

Чтобы убедить пользователя в том, что он попадет на сайт facebook.com, но на самом деле направить его по адресу infosec.rm-it.de, злоумышленнику достаточно прописать URL в таком формате:


https://[email protected]:[email protected]de/

В результате iOS сможет прочесть только первый адрес, в то время как второй останется вне видимости системы. Чтобы убедиться в этом, отсканируйте размещенный выше QR-код при помощи камеры своего iPhone или iPad. Вам будет предложено перейти на сайт Facebook, но вы попадете на страницу с материалами Infosec.

Впрочем, все отнюдь не так плохо, как может показаться на первый взгляд. Если вместо того, чтобы нажимать на баннер сходу, развернуть его, можно увидеть, что при формировании QR-кода имел место подлог URL-адресов. Словом, внимательность — наше все.

Приглашаем вас обсудить эту уязвимость в нашем Telegram-чате.

Лучший комментарий

30 комментариев Оставить свой

  1. 0

    Проблема интересная. Коды не использую, но теперь буду ждать исправления бага. Потом попробую.

  2. 1

    Ух, налетели! ?

  3. 0

    При чем тут ios 11? Дофига просто сканеров qr-кодов!

  4. 1

    это очень опасно!
    зачехляйте свои смартфоны в презервативы.

  5. -6
    美少女

    А потом ещё будут утверждать, что iOS безопаснее Android…

    • 1
      Mikko Zaitsev

      美少女, А думаешь если бы такое нашли в андроиде, про это начали писать?

    • -5
      Tony Montana

      美少女, Ios безопаснее и стабильнее андроида была, есть и будет! Хватит себя переубеждать, начни жить, а не что-то постоянно всем доказывать…

      • 3

        Tony, А вот это вот «начни жить» вообще к чему?

      • 0
        美少女

        Tony, Я пользуюсь как iOS, так и андроидом. И на практике убедилась, что iOS никак не стабильная и не настолько уж и безопасная. Android стабильней (в нём не вылетают приложения), и безопасности мне достаточно, и нет всяких индийских символов, которые когда присылают, всё крэшится на iOS.

    • 0
      Tony Montana

      美少女, Пойми одну простую истину, открытая операционная система никогда не будет безопаснее закрытой. И учесть как «быстро» латаются уязвимости для андроида, то становится печально за его пользователей.)

      • 0

        Tony, Дело не в открытости/закрытости, а в популярности ОС.

        Взять Виндоус и Линукс (любой, для примера), первая закрыта, но вирусов и дыр намного больше. Если бы Линукс в какой-то момент стал популярнее, вирусы под него стали бы рости как на дрожжах.

        • 1
          Darth Malgus

          punksss, И давно это Windows стала закрытой ОС?

          • -2
            美少女

            Darth, С 1985 года она закрытая. Если считаешь, что винда открытая, то покажи где скачать исходники винды.

          • -1

            美少女, Ерундень полнейшая. Не пытайся строить умного в плане безопасности — плохо выходит.
            Есть статическая сборка, когда ты в приложение сразу включаешь все библиотеки. Естественно по совместимости с вендой не сравнится там, где по 20 лет :D, но охватить актуальные дистрибутивы хватит.
            Естественно линукс работает и с рут правами, и как венда просит повышения до рут прав в определённых ситуациях.
            Ну и само собой, что выполняемое приложение даже без рут прав на десктопе легко можеть наделать бед ой как много (что на венде, что на линуксе).

    • 0

      美少女, Штука конечно прикольная, но для реальной эксплуатации как до….
      Так же в интернете можно создать ссылку типа c текстом facebook(dot)com, у которой реальный адрес будет evilsite(dot).com
      Сам по себе переход по зловредной ссылке не принесёт вреда, если не будут задействованы другие уязвимости и прочее.

      • 0
        美少女

        adasiko, После перехода по ссылке сделают копию реальной страницы, и пользователь введёт там свой логин и пароль. Так можно воровать учётные записи Apple ID, почты, банковских клиентов…

        • 0

          美少女, Да ладно?
          Только два но:
          1) большинство пользуются на iOS keychain, он не среагирует, и не введёт пароль
          2) Если пункт первый не смутил пользователя, то тут уж он обречён, любая ссылка в интернете для него фатальна…

  6. 1

    Держите под рукой мирамистин! И только в презервативе!

  7. 1
    Andrey.23

    Последний абзац просто шедевральный!

  8. 0
    Кирилл

    Я пользуюсь безопасным сканером: https://www.kaspersky.ru/qr-scanner

Авторизуйтесь Чтобы оставить комментарий