Una vulnerabilità nel modo in cui l’app della fotoocamera iOS gestisce i QR code potrebbe potenzialmente causare il reindirizzamento inconsapevole di utenti a destinazioni dannose.
Il ricercatore di sicurezza Roman Mueller di Infosec ha scoperto di recente che un difetto nella funzione di scansione automatica dei codici QR della fotocamera può comportare la visualizzazione di un collegamento e l’invio di utenti da qualche altra parte se fanno clic su di esso. Mueller ha fornito un esempio del bug in questione in cui un codice QR scansionato da iPhone mostra un collegamento a Facebook.com tramite il browser Safari, ma in realtà invia gli utenti al proprio sito:
Se si esegue la scansione con l’app fotocamera di iOS (11.2.1), verrà visualizzata questa notifica:
Apri “facebook.com” in Safari
Ma se lo tocchi per aprire il sito, aprirà invece https://infosec.rm-it.de/
Per ottenere questo risultato, è sufficiente che il codice QR incorpori un collegamento in questo formato:
https://xxx\@facebook.com:443@infosec.rm-it.de/
Ecco il tweet in merito:
Mueller ha offerto una spiegazione del perché il trucco funziona:
Il parser dell’URL dell’applicazione fotocamera ha un problema nel rilevare il nome host in questo URL allo stesso modo di Safari.
Probabilmente rileva “xxx \” come nome utente da inviare a “facebook.com:443”.
Mentre Safari potrebbe prendere la stringa completa “xxx \ @ facebook.com” come nome utente e “443” come password da inviare a infosec.rm-it.de.
Qualsiasi utente che ha scansionato il QR code vede un messaggio che lo avverte che sta per andare su Facebook e finisce invece sul sito web di Infosec. Non è difficile immaginare come possa essere usato per reindirizzare gli utenti per truffare siti Web o diffondere malware.
I codici QR dannosi potrebbero non essere in cima alla lista quando si tratta di vulnerabilità della sicurezza, soprattutto perché possono già essere utilizzati per indurre gli utenti a fare clic sui reindirizzamenti utilizzando un servizio di reindirizzamento URL come Bitly. Ma chiunque può facilmente creare un tale codice e quindi diffonderlo sia fisicamente che tramite qualsiasi sito Web che consente l’hosting di immagini e questo trucco può indurre gli utenti a pensare che stiano andando verso un sito legittimo anche se sono abbastanza prudente da non fare clic su un link Bitly.
In base a quanto sostenuto da Mueller, ha informato Apple del bug il 23 dicembre 2017 e il bug non è stato ancora aggiornato, neanche con l’ultimo aggiornamento iOS. In ogni caso, fino a quando questo bug non verrà risolto, gli utenti di iPhone potrebbero voler essere ancora più giudiziosi del normale quando fanno clic sui QR code
Il 22 aprile BlueIT porta l’AI Accelerator al Castello Visconteo di Pandino per la prima…
Presentato nella mostra Space Dreamers a Milano, l'ASUS ExpertBook Ultra pesa 0,99 kg, monta un…
Alla NVIDIA GTC 2026 Jensen Huang ha presentato Vera Rubin, Groq 3, Dynamo 1.0 e…
GPT-5.4 raggiunge il 75% su OSWorld-Verified, superando i dati fatti segnare dagli umani del 72,4%…
Arriva il malware agentico, polimorfo, in grado di cambiare in pochi secondi. L’intelligenza artificiale non…
Ignite On Tour al Museo della Scienza di Milano, nelle sale dove Leonardo immaginava macchine…
Via Italia 50, 20900 Monza (MB) - C.F. e Partita IVA: 03339380135
Reg. Trib. Milano n. 409 del 21/7/2011 - ROC n. 21424 del 3/8/2011
