iOS 11 klaida Camera aplikacijoje gali nukreipti į piktavališkais tikslais sukurtą interneto svetainę
„iOS 11“ „Camera“ aplikacijoje įdiegta QR kodų skaitymo funkcija turi saugumo spragą, kuri gali jos naudotojus, šiems nežinant, nukreipti į kenkėjišką svetainę.
„iOS 11“ esančią „Camera“ aplikaciją „Apple“ papildė nauja QR kodų skenavimo ir atpažinimo funkcija. Ši funkcija leidžia „Camera“ aplikacijoje nukreipti „iPhone“ ar „iPad“ objektyvą į QR kodą ir aplikacija įvykdys QR kode pateiktas instrukcijas. Jei tai interneto svetainės adresas — bus atidaryta interneto svetainė. Nors „iOS“ prieš atidarydama interneto svetainę naudotojo paklausia ar šis nori ją atidaryti ir parodo svetainės adresą — „Camera“ aplikacijoje esanti klaida leidžia nesunkiai ją apgauti.
„Infosec“ kaip šios klaidos patvirtinimą savo svetainėje pateikia QR kodą, kurį nuskenavus su „iOS 11“ (aptikta iOS 11.2.1) „Camera“ aplikacija, ekrane bus parodytas pranešimas: „Open “facebook.com” in Safari“, tačiau iš tikro bus atidaroma svetainė, kurios adresas https://xxx\@facebook.com:443@infosec.rm-it.de/.
Svetainėje demonstruojama, kaip nesunkiai galima apgauti „Camera“ aplikaciją ir tuo pačiu jos naudotoją. Galite pabandyti ir patys nuskenuoti QR kodą esantį „Infosec“ svetainėje. Svetainė į kurią nukreipiama nuskenavus „Infosec“ esantį kodą nėra kokia nors piktavalė, tai pačios „Infosec“ interneto puslapis ir skirtas tik įrodyti šios saugumo spragos egzistavimą, todėl galite pabandyti drąsiai.
Kuriant QR kodus su URL adresu padarytu principu https://xxx\@facebook.com:443@infosec.rm-it.de/ — „Camera“ aplikacija naudotoją informuoja apie pirmoje adreso dalyje minimą URL kaip tą, kuris bus atidarytas, tačiau įvykdo antrą dalį (paklūstama tokio tipo URL atidarymo taisyklėms).
„Infosec“ teigia, kad apie šią saugumo spragą informavo „Apple“ dar 2017 metų gruodžio 23 dieną, tačiau klaida iki šiol nėra ištaisyta ir, atitinkamai, ji išlaukusi padorų laiko tarpą apie šią klaidą paskelbė viešai.
Jei nenorite bandyti QR kodo esančio „Infosec“ svetainėje — galite pabandyti QR kodą esantį žemiau — jis turėtų informuoti apie tai, kad bus atidaroma facebook.com svetainė, tačiau iš tiesų atidarys macarena.lt. Į žemiau esantį QR kodą įkoduotas adresas https://xxx\@facebook.com:443@macarena.lt/
P.S. Šios klaidos „Apple“ neištaisė ir „iOS 11.3“ versijoje — būkite atsargūs.
Nu jau jau ojoj, koks bugas, čia protokolų featuras o ne bugas...
Tai jau tikrai feature - sako atidarysiu aaa.com, o atidaro bbb.net