La fonction de numérisation de code QR dans l'application Appareil photo stock souffre d'un étrange bug de l'analyseur.
Une fois numérisé, un code QR spécialement conçu peut conduire l'utilisateur vers un site Web malveillant au lieu de l'URL sous-jacente affichée dans la bannière de notification.
Comme détaillé dans un nouveau rapport par Infosec, il y a un bogue dans l'analyseur de code QR d'iOS 11 qui permet à l'application Camera stock de scanner automatiquement les codes QR et de les interpréter.
DIDACTICIEL: Comment rejoindre rapidement des réseaux Wi-Fi à l'aide de l'appareil photo de votre iPhone
Le problème est qu'un code QR spécialement construit affichera un nom d'hôte suspect dans une bannière de notification mais ouvrira une autre URL dans Safari.
Vous pouvez l'essayer vous-même en scannant le code QR intégré ci-dessous avec l'application stock Camera sur iOS 11 (remarque: Scannez les codes QR doit être activé dans Paramètres → Appareil photo).
Lors de la numérisation du code, le message «Ouvrir« facebook.com »dans Safari» apparaît dans la bannière de notification, mais en appuyant dessus, vous ouvrez le site Web https://infosec.rm-it.de/.
Il s'avère que cela peut être réalisé en incorporant l'URL au format https: // xxx \ @ facebook.com: [email protected]/ où l'analyseur affichera la première URL mais la notification sera en fait vous amène à l'autre URL.
Les lecteurs de code QR tiers sont également sensibles à ce problème.
En fait, certaines de ces applications vous mettent en fait plus à risque en ouvrant automatiquement le lien immédiatement après avoir scanné le code. D'autres scanners de code QR tiers peuvent simplement planter.
Ce problème a été signalé à l'équipe de sécurité d'Apple le 23 décembre 2017, mais n'a pas été résolu à ce jour. Maintenant que la blogosphère d'Apple a mis en évidence cette vulnérabilité potentiellement grave, Apple devrait, espérons-le, publier bientôt un correctif.
L'application Appareil photo sur iOS 11 reconnaît divers codes QR, y compris les codes de configuration HomeKit, les contacts, les calendriers, les cartes, les messages, les paramètres réseau, les sites Web, les URL de rappel, etc..
Avez-vous déjà essayé de scanner le code QR d'iOS 11?
Faites le nous savoir dans les commentaires.
