^

Czytnik kodów QR w iOS 11 może wprowadzać w błąd

Jaromir Kopp

26 marca 2018

Jedną z nowości w iOS 11 jest wbudowany w systemową aplikację „Aparat” czytnik QR. Jeżeli w polu widzenia obiektywu znajdzie się kod, to po jego odczytaniu pojawi się powiadomienie z rodzajem informacji i treścią. W przypadku stron www czytnik kodów QR w iOS 11 może wprowadzać w błąd.

Kłopotliwa błahostka?

Problem może nie jest zbyt wielki, jednak nie należy go lekceważyć. Pół biedy, gdy zamiast strony z najnowszymi rowerami pojawi nam się oferta bielizny damskiej, jednak równie dobrze możemy być wprowadzeni w błąd, gdy spodziewamy się wejść do serwisu internetowego swojego banku. Nie zawsze spojrzymy drugi raz na adres. To już poważniejszy problem.

Jak to działa?

Po zeskanowaniu kodu w banerze z powiadomieniem widzimy adres strony, na którą kod chce nas skierować. Po kliknięciu banera może się jednak okazać, że trafimy na całkiem inną stronę, która podszyła się pod inną nazwę.
Wystarczy, że autor kodu zmanipuluje go, wpisując fałszywe dane logowania np. tak:

MacWyznawca\\@www.apple.com:433@mojmac.pl/

W powiadomieniu pojawi się adres apple.com, jednak po puknięciu w baner zostaniemy przekierowani na mojmac.pl (i bardzo dobrze).
QR kod wprowadzający w błąd
Serwis infosec zgłosił ten błąd do Apple już 23 grudnia zeszłego roku, jednak nadal nie jest on poprawiony.
Swoje eksperymenty przeprowadziłem w ostatniej becie iOS 11.3. Jedyna różnica względem adresu preparowanego przez infosec to dodatkowy ukośnik, który musiałem dodać. Ich przykład wygląda tak:

https://xxx\@facebook.com:443@infosec.rm-it.de/

Obecność kodu protokołu (https://) nie miała u mnie wpływu na działanie tej podatności.

QR Kod z niespodzianką

@huczas


Uważajcie, bo czytnik kodów QR w iOS 11 może wprowadzać w błąd. Dajcie znać, jak zachowuje się Aparat w iOS 11 w Waszych iPhone’ach skanując kod z obrazka tytułowego.
 

Jaromir Kopp

Użytkownik komputerów Apple od 1991 roku. Dziennikarz technologiczny, programista i deweloper HomeKit. Propagator przyjaznej i dostępnej technologii. Lubi programować w Swift i czystym C. Tworzy rozwiązania FileMaker. Prowadzi zajęcia z IT i programowania dla dzieci oraz młodzieży, szkoli też seniorów. Współautor serii książek o macOS wydanych przez ProstePoradniki.pl. Projektuje, programuje oraz samodzielnie wykonuje prototypy urządzeń Smart Home. Jeździ rowerem.
Komentarze (5)
L

5 komentarzy

  1. OTTON

    KŁOPOTLIWA BŁAHOSTKA wprowadzająca w błąd – tak nazywa się następny babol od Apple, który może spowodować wyciek Waszych haseł. W Androidzie byłby pewnie „poważny błąd” albo gorzej 🙂 Relatywizm

    • Jaromir Kopp

      Podaj scenariusz?

  2. OTTON

    Naprawdę nie widzisz problemu? To klasyczna luka phishingowa przez którą można wyciągnąć dane do logowania, nr telefonu, czy inne pierdoły, które wprowadzi nieswiadomy użytkownik po wejściu na spreparowaną stronę. Zalecane jest wyłączenie skanowania kodów do czasu aż apple naprawi problem. Swoją drogą naprawiają od 23 grudnia. Dopiero teraz, jak sprawa stała się medialna, możemy liczyć na poważne zajęcie się tym. Podobnie zwlekali z naprawą „roota”.

    • Jaromir Kopp

      Przecież o tym napisałem. Ale zauważ, że nazwa strony docelowej jest widoczna jak byk. Oczywiście można się na to złapać, ale w stopniu podobnym jak podawanie hasła do systemu „dekoderowi” wideo ze stron porno.

  3. Komor

    U mnie widoczna jest nazwa Apple.com, a nie mojmac.pl, na którą de facto mnie kieruje. IPhone z 11.2.6.