Một lỗ hổng mới trong iOS 11 đã được phát hiện vào cuối tuần qua, lần này tập trung vào máy quét mã QR trong ứng dụng máy ảnh iPhone. Với tính năng quét mới trong iOS 11, người dùng có thể mở ứng dụng Máy ảnh trên iPhone hoặc iPad, trỏ thiết bị vào mã QR và nhấn vào thông báo để truy cập bất kỳ nội dung nào trong mã đó.
Trong một báo cáo mới của Infosec, các nhà nghiên cứu đã phát hiện ra rằng mã QR liên quan đến liên kết trang web có thể đánh lừa người dùng bằng cách hiển thị liên kết trang web “không tốt” trong thông báo, trong khi thực sự dẫn họ đến một trang web hoàn toàn khác. Infosec đã thể hiện điều này bằng cách tạo mã QR tạo thông báo đến “Mở ‘facebook.com’ trong Safari”, nhưng sau đó dẫn đến trang web của chính nó.
Infosec giải thích rằng ứng dụng Máy ảnh không phân tích cú pháp URL đúng cách trong mã QR và dường như bị lừa bằng cách chỉ cần chỉnh sửa URL với một vài ký tự bổ sung:
URL được nhúng trong mã QR là: https: // xxx @ facebook.com: [email protected]/
Nhưng nếu bạn nhấn vào nó để mở trang web, thay vào đó nó sẽ mở https://infosec.rm-it.de/
Trình phân tích cú pháp URL của ứng dụng máy ảnh gặp sự cố khi phát hiện tên máy chủ trong URL này theo cách giống như Safari. Nó có thể phát hiện “xxx ” là tên người dùng được gửi đến “facebook.com:443”. Mặc dù Safari có thể lấy chuỗi hoàn chỉnh “xxx @ facebook.com” làm tên người dùng và “443” làm mật khẩu được gửi đến infosec.rm-it.de. Điều này dẫn đến một tên máy chủ khác được hiển thị trong thông báo so với những gì thực sự được mở trong Safari.
iOS 11 đã phải đối mặt với một số lỗi và sự cố kể từ khi ra mắt vào tháng 9 năm ngoái, bao gồm một lỗi đã được sửa vào tháng 12 cho phép truy cập trái phép vào thiết bị HomeKit.
Apple Ứng dụng máy ảnh iOS không phân tích cú pháp URL trong mã QR đúng cách. Nó hiển thị một máy chủ lưu trữ khác trong thông báo so với nó thực sự mở. Hiện tại vẫn chưa được sửa: https://t.co/EMQk7uBQ9i pic.twitter.com/KE6EwYhj7s
& mdash; @faker_ Roman (@faker_) ngày 24 tháng 3 năm 2018
Nguồn: macrumors
