Специалисты по безопасности мобильных устройств обнаружили в коде iOS 11 очередной баг, который делает пользователей уязвимыми для вредоносных атак.
Недостаток во встроенном считывателе QR-кода можно использовать, чтобы заставить людей перейти на вредоносный веб-сайт, которые маскируется под совершенно безобидный.
Если вы пользуетесь iOS 11, на которую уже перешло подавляющее большинство пользователей iPhone и iPad — то вы можете навести камеру на QR-код, чтобы его отсканировать. Встроенное приложение камеры Apple теперь автоматически распознает код, а затем спрашивает, хотите ли вы перейти на указанную страницу.
Это удобный инструмент, который избавляет от необходимости использования сторонних считывателей QR-кодов, но он однозначно нуждается в доработке. Специалисты из InfoSec обнаружили уязвимость в том, как программа анализирует URL-адреса, которые могут быть использованы для перевода пользователей на вредоносные сайты.
Встраивая URL-адреса в определенном формате, злоумышленник может обмануть iOS, чтобы предложить пользователям открыть один веб-сайт, но на деле перенести его на другой. Посмотреть, как это работает, можно по QR-коду выше. Просканируйте его через приложение камеры, и iOS спросит вас, хотите ли вы перейти на сайт Facebook. Но если вы согласитесь, то окажетесь на сайте InfoSec. Конкретно этот пример совершенно безвредный. Однако нетрудно представить, как могут использовать такую уязвимость мошенники.
QR-код может быть встроен в фишинговое письмо, которое обещает выгодное предложение или другой бонус при сканировании кода. Затем пользователи могут перейти на вредоносный веб-сайт, хотя изначально видели предложение посетить подлинный, где их конфиденциальная информация оказывается скомпрометированной.
Как обвести iOS вокруг пальца
Чтобы воспользоваться уязвимостью, злоумышленнику достаточно добавить в QR-код ссылку определенного формата — что-то вроде
https://[email protected]:[email protected]/
В данном примере iOS будет видеть такую ссылку как facebook.com — и именно этот адрес покажет пользователю. Но когда такая ссылка прогружается в Safari, открывается сайт infosec.rm-it.de.
В InfoSec сообщают, что рассказали Apple об этом баге еще в декабре прошлого года, но компания до сих пор так и не закрыла уязвимость. Прежде чем выйдет соответствующее обновление, рекомендуем дважды проверять, соответствует ли адрес сайта, на который вы перешли, заявленному. Возможно, на это время стоит отказаться от сканирования QR через камеру и перейти на стороннее приложение.