QR コードは非常に便利で、 iOS 11 以降、外部アプリを使用せずに iPhone と iPad にも QR コードがネイティブに搭載されています。 その操作は非常に簡単で、たとえばWi-Fi ネットワークにアクセスする場合に非常に役立つことがすでにわかりました。ただし、悪意のあるページに誘導するなど、悪用される可能性もあります。
iOS 11 の脆弱性により、QR によって生成されたリンクでユーザーが騙される可能性があります。次のように動作します。iOS 11 のカメラは、QR コードに焦点を合わせると、その QR の情報を含む通知を生成します。 Web ページへのリンクの場合は、「Safari で ___________ を開く」というテキストを含む Safari 通知が表示されます。空白は、開く Web ページの名前です。か否か。
誤解を招く通知
Infosec によって公開されているように、この通知に表示される名前を、これから開かれるページの名前と異なるように変更できます。これを行うために、QR に対して作成されるリンクは、ページ自体の名前ではなく、代替構造になります。
https://xxx\@textoquepare.com:443@enlacereal.com
以下は、通知によると IphoneFocus.clickWeb サイトに移動するリンクを含む簡単な例ですが、実際には Xataka Web サイトに移動します。
Infosec は12 月 23 日に Apple のセキュリティ チームにこのエラーを通知しました。 3か月経った今でも修正されていません。このエラー修正が間もなく行われる iOS 11.3 アップデートで修正されるか、それとも iOS 11.3.1 で修正されるかがわかります。
Apple iOS カメラ アプリは、QR コード内の URL を適切に解析しません。通知には実際に開くホストとは異なるホストが表示されます。現時点ではまだ修正されていません: https://t.co/EMQk7uBQ9i pic.twitter.com/KE6EwYhj7s
— @faker_ Roman (@faker_) 2018年3月24日
これは iOS のセキュリティ バグですが、見た目ほど深刻ではありません。通知に騙されるかもしれませんが、ページが開くと、URL にその本当の名前が表示されます。いつものように、公開ファイルやリンクを開くときは注意して行うことが最善です。
経由 | 情報セキュリティ
アップルフェラで | さらに簡単: iOS 11 では、ルーターの QR コードをスキャンして Wi-Fi ネットワークに接続できます。