标题:
[数码手机]
iOS11读取二维码功能有漏洞,可能被诱骗至恶意网站
[打印本页]
作者:
jun4rui
时间:
2018-3-29 10:09
标题:
iOS11读取二维码功能有漏洞,可能被诱骗至恶意网站
QR码黑客 iOS相机应用程序中披露了一个新漏洞,可能会利用这种漏洞在用户不知情的情况下将用户重定向到恶意网站。
该漏洞影响苹果公司针对iPhone,iPad和iPod touch设备的最新iOS 11移动操作系统,并驻留在内置的QR码阅读器中。
借助iOS 11,Apple推出了一项新功能,使用户无需使用任何第三方QR代码阅读器应用程序即可使用其iPhone本机相机应用程序自动读取QR代码。
您需要在iPhone或iPad上打开相机应用程序,并将设备指向QR码。如果代码包含任何网址,它会通过链接地址向您发送通知,要求您在Safari浏览器中点击访问它。
但是,请注意 - 安全研究员Roman Mueller 发现,您可能不会访问显示给您的URL 。
根据Mueller的说法,用于iOS相机应用程序的内置QR码阅读器的URL解析器无法检测到URL中的主机名,这允许攻击者操纵通知中显示的URL,诱骗用户访问恶意网站。
IOS-QR码相机
对于演示,研究人员使用以下URL创建了QR码(如上所示):
https://开头XXX \ @ facebook.com:
443@infosec.rm-it.de
/
如果您使用iOS相机应用进行扫描,则会显示以下通知:
在Safari中打开“facebook.com”
当你点击它打开网站时,它会打开:
https://infosec.rm-it.de/
我已经在运行iOS 11.2.6的iPhone X上测试了此漏洞,如上面的屏幕截图所示,并且工作正常。
QR(快速回复)代码是共享信息的快捷方式,但当用户依靠QR码进行快速付款或打开银行网站时,问题变得特别危险,他们最终可能会将其登录凭据提供给网络钓鱼网站。
研究人员去年12月已经向苹果公司报告了这一漏洞,但苹果公司尚未修复该漏洞。
欢迎光临 TGFC Lifestyle (http://bbs.tgfcer.com/)
Powered by Discuz! 6.0.0