iOSカメラQRコードリーダーの脆弱性により、悪意のあるWebサイトに誘導されある可能性あり!

0
173

iOSカメラアプリに組み込まれたQRコードリーダーの脆弱性により、ユーザーは知らないうちに悪意のあるWebサイトに誘導されている可能性があります。

iOS 11では、標準のカメラアプリを使用してiPhoneをQRコードにポイントするだけで、コードを読み込んで行動することができます。埋め込まれたウェブサイトのURLの場合、iOSはリンク先アドレスを表示し、訪問するサイトを確認するために「確認」ボタンをタップするようにメッセージが表示されます。しかし、じつは、表示されたリンクではなく、別のページへいってしまう可能性があります。



QRコードリーダーの脆弱性により、ユーザーは知らないうちに悪意のあるWebサイトに誘導

Infosecは、1つのURLを表示しつつ、遷移する際は別のURLへいくようにユーザーをだますのは簡単だといいます。このサイトでは、Safariでfacebook.comを開くかどうかを尋ねるQRコードを表示していますが、実際には自分のWebサイトへ遷移させます。

iOS(11.2.1)カメラアプリで[以下のQRコード]をスキャンすると、この通知が表示されます:

Safariで「facebook.com」を開く

しかし、サイトを開くためにタップすると、代わりにhttps://infosec.rm-it.de/が開きます

これを達成するために必要なのは、下の形式のURLを埋め込むだけです。

https:// xxx \ @ facebook.com:443@infosec.rm-it.de/

iOSは最初のURLを表示しますが、2番目のURLに移動します。 QRコードがありますので、心配な方は、試してみてください。

このサイトでは、昨年12月23日にAppleに報告したとのことですが、まだ修正されていないという。