苹果手机内置相机应用的二维码扫描功能可以引导用户访问恶意网站

Infosec报道了 iOS 内置相机二维码读取功能的一个漏洞,该漏洞可以让用户在不知情的情况下被定向到恶意网站。

从 iOS 11开始,你可以使用iOS内置的相机应用来扫描二维码,它将读取二维码的信息并执行。当二维码中嵌入网站 URL 的情况下, iOS 会向您显示链接地址, 并要求您点击确认您要访问它,但是您访问的链接可能不是显示的链接。

Infosec 发现,这个漏洞可以非常容易的愚弄用户,使其显示一个 URL,但访问的是另一个URL。该网站用 一个二维码来证明这一点,扫描这个二维码 iOS 会询问您是否希望在 Safari中打开 facebook.com,但实际上会将访问引导到Infosec自己的网站。

下面是这个二维码,您可以自己试试:

qr-code

您用iPhone自带的相机应用扫描这个二维码,系统会通知您“在Safari浏览器中打开facebook.com“。当您点击通知启动浏览器访问的却是https://infosec.rm-it.de/。

二维码中嵌入的URL内容如下:

https://xxx\@facebook.com:443@infosec.rm-it.de/

iOS显示了第一个URL,访问的却是第二个URL,Infosec说, 这一漏洞在去年12月23日就向苹果公司报告,但到目前为止仍未修复。

广告

You May Also Like