Баг в парсере QR-кодов в iOS может быть использован злоумышленниками

Олег Иванов 28 Марта 2018 - 13:43

Домашние пользователи

iOS

Apple

Уязвимости программ

Ошибки конфигурации программ

...

Баг в парсере QR-кодов в iOS может быть использован злоумышленниками

Уязвимость в стандартном приложении камеры iOS может быть использована злоумышленниками для перенаправления пользователей на вредоносные веб-сайты. Как сообщают специалисты, проблема связана со встроенным считывателем QR-кода.

Брешь присутствует в последних релизах iOS 11 для iPhone, iPad и iPod touch, именно в iOS 11 появилась возможность автоматического считывания QR-кодов при использовании стандартного приложения камеры.

Чтобы прочитать QR-код, пользователям необходимо просто открыть камеру и навести фокус на QR-код. Таким образом, если там содержится ссылка, система отобразит пользователю уведомление с адресом этой ссылки, с помощью которого можно перейти на сайт.

Однако по словам исследователя Романа Мюллера, URL-адрес можно изменить. Эксперт обнаружил, что парсер URL встроенного считывателя QR-кода в iOS неправильно определяет имя хоста в URL-адресе, что позволяет изменять отображаемый URL-адрес в уведомлении и заманивать пользователей на вредоносные сайты.

«У парсера есть проблема, связанная с обнаружением имени хоста в адресе. Скорее всего, он обрабатывает “xxx\” как имя пользователя, которого надо отправить на “facebook.com:443”. В то же время Safari берет полную строку “xxx\@facebook.com” в качестве имени пользователя, а “443” в качестве пароля, которые отправляются на “infosec.rm-it.de”. Это приводит к тому, что в уведомлении отображается другое имя хоста, не то, которое фактически открыто в Safari», — пишет эксперт в блоге.

Мюллер создал QR-код, содержащий следующий URL-адрес:

https://xxx\@facebook.com:443@infosec.rm-it.de/

Когда он отсканировал его с помощью камеры iOS, а устройстве появилось следующее уведомление:

Open “facebook.com” in Safari (Открыть “facebook.com” в Safari).

После нажатия на это уведомление вместо Facebook откроется https://infosec.rm-it.de/. Эксперт успешно протестировал проблему на своем iPhone X под управлением iOS 11.2.6.

Мюллер сообщил о своей находке Apple в декабре прошлого года, однако проблема до сих пор не исправлена.

Следующая главная новость »

Как эффективно защититься от шифровальщиков? Расскажем на AM Live - переходите по ссылке, чтобы узнать подробности

Татьяна Никитина 05 Декабря 2025 - 18:37

Мошенничество Домашние пользователи

Телефонные мошенники уже готовы передать ваш вопрос Путину

В «Ростелекоме» фиксируют рост числа мошеннических звонков с предложением воспользоваться прямой линией связи с президентом России, которая, согласно сложившейся традиции, запускается для граждан перед Новым годом.

Аферисты представляются оператором прямой линии с Владимиром Путиным и под предлогом оформления заявки пытаются выманить интересующую их информацию.

Всплеск телефонного мошенничества в стране в связи с актуальным событием ожидаем, и граждан, желающих по случаю напрямую пообщаться с Путиным, призывают к бдительности.

Уже начавшиеся кибератаки на ресурсы прямой линии с президентом РФ, в том числе на официальный портал москва-путину.рф, тоже не редкость, и защитники их успешно отражают.

«В этом году перед прямой линией мы проводили разные тесты, сами пытались взломать ресурсы, которые основаны на отечественном оборудовании, — цитирует ТАСС выступление зампред правления «Ростелекома» Сергея Онянова на пресс-конференции. — На текущий момент система готова к отражению разного рода атак. Также мы помогаем блокировать [мошеннические] зеркала, чтобы россияне не видели другие сайты, кроме официального».

Программа «Итоги года с Владимиром Путиным» выйдет в эфир в полдень 19 декабря. Обращения граждан принимаются с 15:00 мск 4 декабря до завершения трансляции.

Баг в парсере QR-кодов в iOS может быть использован злоумышленниками

Читайте также