Приложение камеры в iOS 11 неправильно считывает URL с QR-кодов и может направлять на вредоносные сайты

Немецкий специалист по безопасности Роман Мюллер (Roman Mueller) обнаружил баг в стандартном приложении камеры для iOS 11. В сложных URL система считывания QR-кодов неправильно распознает главный домен, что открывает путь для фишинговых кампаний и других социально-инженерных трюков.

К примеру, злоумышленники могут заменять на добросовестных сайтах QR-коды, используемые для автоматизации пожертвований, чтобы перенаправлять пользователей на собственные аккаунты.

Поворот не туда

Зашифрованную в QR-код ссылку https://xxx\@facebook.com:443@infosec.rm-it.de/ приложение читает как facebook.com, а на самом деле она ведет на домен rm-it.de. После того, как пользователь отсканировал вредоносный QR-код, появится сообщение: «Открыть facebook.com в Safari», — и пользователь не распознает угрозы.

Самая ранняя версия, в которой проявляется баг, — iOS 11.2.0, однако приложения камеры в более старых версиях также уязвимы. В текущей версии iOS 11.2.6 баг все еще активен, хотя Мюллер уведомил Apple о своей находке 23 декабря 2017 года.

Обнаруженная уязвимость является не первым случаем сбоя в работе iOS 11. Напомним, что в феврале 2018 года был найден баг, блокировавший доступ к мессенджерам при отправке в сообщении символа జ్ఞ‌ా на языке телугу.