Уязвимость в считывателе QR-кодов, встроенного в приложение камеры iOS, может позволить направить пользователей на вредоносный сайт без их ведома.
Начиная с iOS 11, вы можете просто направить свой iPhone на QR-код, используя стандартное приложение для камеры. Если в QR-код “зашита” ссылка, iOS показывает вам её адрес и просит нажать для подтверждения того, что вы хотите посетить сайт.
Исследователи из Infosec заметили, что есть способ обмануть пользователя. Уведомление будет предлагать перейти на один сайт, а по факту это может быть совсем другое место.
Не верите? Попробуйте сами, отсканировав код ниже.
iPhone скажет, что вам предлагается перейти на facebook.com. На деле же, вас перебросит на статью об этой уязвимости по адресу https://infosec.rm-it.de/.
Выглядит это следующим образом:
Эксперты сообщили об уязвимости ещё 23 декабря, но она не была устранена до сих пор. Даже в iOS 11.3 beta 6. Мы проверили.
А теперь представьте, как любой злоумышленник попытается скрыть, к примеру, фейковый сайт Apple под видом настоящего. Доверчивый пользователь перейдет по ссылке из QR-кода и будет со спокойной душой вводить данные своего Apple ID там, где этого делать не нужно. [9to5]
16 комментариев