Czytnik kodów QR w iOS 11 może wprowadzać w błąd

Jedną z nowości w iOS 11 jest wbudowany w systemową aplikację „Aparat” czytnik QR. Jeżeli w polu widzenia obiektywu znajdzie się kod, to po jego odczytaniu pojawi się powiadomienie z rodzajem informacji i treścią. W przypadku stron www czytnik kodów QR w iOS 11 może wprowadzać w błąd.

Kłopotliwa błahostka?

Problem może nie jest zbyt wielki, jednak nie należy go lekceważyć. Pół biedy, gdy zamiast strony z najnowszymi rowerami pojawi nam się oferta bielizny damskiej, jednak równie dobrze możemy być wprowadzeni w błąd, gdy spodziewamy się wejść do serwisu internetowego swojego banku. Nie zawsze spojrzymy drugi raz na adres. To już poważniejszy problem.

Jak to działa?

Po zeskanowaniu kodu w banerze z powiadomieniem widzimy adres strony, na którą kod chce nas skierować. Po kliknięciu banera może się jednak okazać, że trafimy na całkiem inną stronę, która podszyła się pod inną nazwę.
Wystarczy, że autor kodu zmanipuluje go, wpisując fałszywe dane logowania np. tak:

MacWyznawca\\@www.apple.com:433@mojmac.pl/

W powiadomieniu pojawi się adres apple.com, jednak po puknięciu w baner zostaniemy przekierowani na mojmac.pl (i bardzo dobrze).

Serwis infosec zgłosił ten błąd do Apple już 23 grudnia zeszłego roku, jednak nadal nie jest on poprawiony.
Swoje eksperymenty przeprowadziłem w ostatniej becie iOS 11.3. Jedyna różnica względem adresu preparowanego przez infosec to dodatkowy ukośnik, który musiałem dodać. Ich przykład wygląda tak:

https://xxx\@facebook.com:443@infosec.rm-it.de/

Obecność kodu protokołu (https://) nie miała u mnie wpływu na działanie tej podatności.

Uważajcie, bo czytnik kodów QR w iOS 11 może wprowadzać w błąd. Dajcie znać, jak zachowuje się Aparat w iOS 11 w Waszych iPhone’ach skanując kod z obrazka tytułowego.