По словам исследователей безопасности, недавняя уязвимость в отношении того, как приложение Apple iOS для камеры обрабатывает автоматическое сканирование QR-кода, потенциально может быть использовано для обмана пользователей.
Ошибка запускается каждый раз, когда пользователи направляют камеру смартфона на QR-код, который перенаправляется на различные веб-сайты. Исследователь по безопасности Роман Мюллер сказал, поскольку URL-адрес не надлежащим образом дезинфицирован приложением камеры iOS, киберпреступники могут перенаправить пользователей в другой домен, который отображается на панели уведомлений.
Приложение для камеры и браузер Safari, открывающий URL-адрес, встроенный в QR-код, по-видимому, имеют разные способы анализа URL-адресов, что, в свою очередь, приводит к текущей проблеме.
«У анализатора URL-адресов приложения камеры есть проблема, обнаруживающая имя хоста в этом URL-адресе так же, как это делает Safari, — писал Мюллер. — Это приводит к тому, что в уведомлении отображается другое имя хоста по сравнению с тем, что фактически открыто в Safari».
Пример, используемый Мюллером, включает создание QR-кода со следующего URL-адреса: https: // xxx @ facebook.com: 443@infosec.rm-it.de/. Вместо того, чтобы перенаправлять пользователей на Facebook, поскольку уведомление на iOS отображается, оно фактически перенаправляет их на infosec.rm-it.de.
Проверка уязвимости, как показано на скриншотах выше, показала, что она еще не исправлена. Создавая собственный QR-код, он предлагает пользователям открыть hotforsecurity.com, только для Safari для перенаправления на businessinsights.bitdefender.com.
Пока обновление, исправляющее ошибку, становится доступным, рекомендуется соблюдать осторожность при сканировании QR-кодов
