A digitalização de códigos QR no aplicativo iOS 11 Camera pode levar você a sites maliciosos

O recurso de digitalização de código QR no aplicativo da câmera padrão sofre de um erro estranho no analisador.

Quando digitalizado, um código QR especialmente criado pode levar o usuário a um site mal-intencionado, em vez de qualquer URL subjacente exibido no banner de notificação.

Conforme detalhado em um novo relatório da Infosec, há um erro no analisador de código QR do iOS 11 que permite que o aplicativo Camera da câmera digitalize automaticamente códigos QR e os interprete.

TUTORIAL: Como entrar rapidamente em redes Wi-Fi usando a câmera do seu iPhone

O problema é que um código QR especialmente construído mostrará um nome de host não suspeito em um banner de notificação, mas abrirá outro URL no Safari.

Você pode tentar fazer isso sozinho, digitalizando o código QR incorporado abaixo com o aplicativo Câmera padrão no iOS 11 (nota: Digitalizar códigos QR deve estar ativado em Configurações → Câmera).

Ao digitalizar o código, a mensagem "Abrir 'facebook.com' no Safari" aparece no banner de notificação, mas, ao tocar nele, o site é https://infosec.rm-it.de/.

Como se vê, isso pode ser alcançado incorporando o URL no formato https: // xxx \ @ facebook.com: [email protected]/ em que o analisador exibirá o primeiro URL, mas a notificação será realmente leva você para o outro URL.

Os leitores de código QR de terceiros também são suscetíveis a esse problema.

De fato, alguns desses aplicativos correm maior risco ao abrir automaticamente o link imediatamente após a verificação do código. Outros scanners de código QR de terceiros podem simplesmente travar.

Esse problema foi relatado à equipe de segurança da Apple em 23 de dezembro de 2017, mas ainda não foi corrigido. Agora que a blogosfera da Apple destacou essa vulnerabilidade potencialmente séria, esperamos que a Apple libere uma correção em breve.

O aplicativo Câmera no iOS 11 reconhece vários códigos QR, incluindo códigos de configuração do HomeKit, contatos, calendários, mapas, mensagens, configurações de rede, sites, URLs de retorno de chamada e assim por diante.

Você já experimentou a digitalização de código QR do iOS 11 ainda?

Deixe-nos saber nos comentários.