Уязвимость встроенного в приложение «Камера» считывателя QR-кодов позволяет направлять пользователей на скомпрометированные веб-сайты, выдавая их за безопасные. Об этом сообщают исследователи Infosec, обнаружившие проблему еще в декабре прошлого года, но так и не дождавшиеся исправлений.
Чтобы убедить пользователя в том, что он попадет на сайт facebook.com, но на самом деле направить его по адресу infosec.rm-it.de, злоумышленнику достаточно прописать URL в таком формате:
https://xxx@facebook.com:443@infosec.rm-it.de/
В результате iOS сможет прочесть только первый адрес, в то время как второй останется вне видимости системы. Чтобы убедиться в этом, отсканируйте размещенный выше QR-код при помощи камеры своего iPhone или iPad. Вам будет предложено перейти на сайт Facebook, но вы попадете на страницу с материалами Infosec.
Впрочем, все отнюдь не так плохо, как может показаться на первый взгляд. Если вместо того, чтобы нажимать на баннер сходу, развернуть его, можно увидеть, что при формировании QR-кода имел место подлог URL-адресов. Словом, внимательность — наше все.
Приглашаем вас обсудить эту уязвимость в нашем Telegram-чате.
Читайте также
Последние новости