В системе распознавания QR-кодов в iOS обнаружена опасная уязвимость
Специалист по кибербезопасности Роман Мюллер (Roman Mueller) выявил уязвимость в системе автоматической обработки QR-кодов, присутствующей в приложении «Камера» на iOS.
Как выяснил исследователь, уязвимость позволяет перенаправлять пользователя на сторонние web-сайты без его ведома. Для успешной эксплуатации уязвимости нужно сгенерировать QR-код из ссылки, составленной определенным образом, например, [https]://xxx@facebook. com:443@infosec. rm-it.de/. Если открыть приложение «Камера» в iOS и навести камеру устройства на QR-код, сгенерированный из данного адреса, она распознает его, проанализирует и предложит перейти на сайт facebook.com в браузере Safari. Однако на самом деле приложение откроет web-сайт infosec.rm-it.de.
«У парсера URL-адресов в этом URL-адресе так же, как это делает Safari. Это приводит к тому, что имя хоста, отображаемое в уведомлении, отличается от того, которое фактически открывается в браузере», - отметил исследователь.
Проблема заключается в том, как программное обеспечение Apple обрабатывает символ @. Система уведомлений распознает первый домен в строке, в то время как Safari загружает второй. Проблему можно решить, удалив @ из URL и создав QR-код заново.
По словам Мюллера, он уведомил команду безопасности Apple о данной уязвимости 23 декабря 2017 года, однако проблема до сих пор не исправлена.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш