IOS Kamera Uygulaması’nda, kullanıcıları bilgilerini bilmeden kötü amaçlı bir web sitesine yönlendirmek için kullanılabilecek yeni bir güvenlik açığı açıklandı.
Bu güvenlik açığı Apple’ın iPhone, iPad ve iPod touch cihazları için en son iOS 11 mobil işletim sistemini etkiliyor ve yerleşik QR kod okuyucuda bulunuyor.
IOS 11 ile Apple, kullanıcıların herhangi bir üçüncü taraf QR kod okuyucu uygulaması gerektirmeden iPhone’ların yerel kamera uygulamasını kullanarak QR kodlarını otomatik olarak okuyabilmelerini sağlayan yeni bir özellik sunmuştur.
IPhone veya iPad’inizde Kamera uygulamasını açmanız ve cihazı bir QR koduyla işaretlemeniz gerekir. Kod herhangi bir URL içeriyorsa, bağlantı adresini kullanarak Safari tarayıcısında ziyaret etmenizi isteyen bir bildirim gönderir.
Ancak dikkatli olun – sizin için görüntülenen URL’yi ziyaret olmayabilir, güvenlik araştırmacısı Roman Mueller keşfetti .
Mueller’e göre, iOS kamera uygulaması için yerleşik QR kod okuyucusunun URL ayrıştırıcısı URL’deki ana bilgisayar adını saptayamaz ve bu da saldırganların bildirimde görüntülenen URL’yi kullanmasına izin vererek kullanıcıların kötü amaçlı web sitelerini ziyaret etmelerini sağlar.
ios-qr-kod-kamera
Demo için araştırmacı, aşağıdaki URL ile bir QR kodu (yukarıda gösterilen) oluşturdu:
https: // xxx \ @ facebook.com: [email protected]/
IOS kamera uygulamasıyla tararsanız, aşağıdaki bildirimleri gösterir:
Safari’de “facebook.com” ı aç
Siteyi açmak için dokunduğunuzda, bunun yerine açılır:
https://infosec.rm-it.de/
Yukarıdaki ekran görüntüsünde gösterildiği gibi güvenlik açığı test ettim, iPhone 11 işletim sisteminde iOS 11.2.6 çalıştı ve çalıştı.
QR (Hızlı Yanıt) kodu, bilgileri paylaşmanın hızlı ve kolay bir yoludur, ancak kullanıcılar, hızlı ödeme yapmak veya banka web sitelerini açmak için QR kodlarına başvurduklarında, özellikle kimlik bilgilerini kimlik avına göndermek için kullanabilecekleri durumlarda daha da tehlikeli hale gelir. web siteleri.
Araştırmacı bu kusurunu geçen yıl Aralık ayında Apple’a bildirmişti, ancak Apple bugüne kadar bugünü bugüne kadar düzeltmedi.