Una vulnerabilità nel modo in cui l’app della fotoocamera iOS gestisce i QR code potrebbe potenzialmente causare il reindirizzamento inconsapevole di utenti a destinazioni dannose.
Il ricercatore di sicurezza Roman Mueller di Infosec ha scoperto di recente che un difetto nella funzione di scansione automatica dei codici QR della fotocamera può comportare la visualizzazione di un collegamento e l’invio di utenti da qualche altra parte se fanno clic su di esso. Mueller ha fornito un esempio del bug in questione in cui un codice QR scansionato da iPhone mostra un collegamento a Facebook.com tramite il browser Safari, ma in realtà invia gli utenti al proprio sito:
Se si esegue la scansione con l’app fotocamera di iOS (11.2.1), verrà visualizzata questa notifica:
Apri “facebook.com” in Safari
Ma se lo tocchi per aprire il sito, aprirà invece https://infosec.rm-it.de/
Per ottenere questo risultato, è sufficiente che il codice QR incorpori un collegamento in questo formato:
https://xxx\@facebook.com:443@infosec.rm-it.de/
Ecco il tweet in merito:
Mueller ha offerto una spiegazione del perché il trucco funziona:
Il parser dell’URL dell’applicazione fotocamera ha un problema nel rilevare il nome host in questo URL allo stesso modo di Safari.
Probabilmente rileva “xxx \” come nome utente da inviare a “facebook.com:443”.
Mentre Safari potrebbe prendere la stringa completa “xxx \ @ facebook.com” come nome utente e “443” come password da inviare a infosec.rm-it.de.
Qualsiasi utente che ha scansionato il QR code vede un messaggio che lo avverte che sta per andare su Facebook e finisce invece sul sito web di Infosec. Non è difficile immaginare come possa essere usato per reindirizzare gli utenti per truffare siti Web o diffondere malware.
I codici QR dannosi potrebbero non essere in cima alla lista quando si tratta di vulnerabilità della sicurezza, soprattutto perché possono già essere utilizzati per indurre gli utenti a fare clic sui reindirizzamenti utilizzando un servizio di reindirizzamento URL come Bitly. Ma chiunque può facilmente creare un tale codice e quindi diffonderlo sia fisicamente che tramite qualsiasi sito Web che consente l’hosting di immagini e questo trucco può indurre gli utenti a pensare che stiano andando verso un sito legittimo anche se sono abbastanza prudente da non fare clic su un link Bitly.
In base a quanto sostenuto da Mueller, ha informato Apple del bug il 23 dicembre 2017 e il bug non è stato ancora aggiornato, neanche con l’ultimo aggiornamento iOS. In ogni caso, fino a quando questo bug non verrà risolto, gli utenti di iPhone potrebbero voler essere ancora più giudiziosi del normale quando fanno clic sui QR code
L’elettrificazione non basta più. La vera sostenibilità dell’auto passa oggi per algoritmi intelligenti, dati in…
Il ceo di Nvidia, Jensen Huang, annuncia 10.000 GPU DGX B200 in Germania per BMW,…
LinkedIn Global Gender Gap Report 2025: il tasso di assunzione femminile in ruoli di leadership…
Alla WWDC 2025 Ddebutto per l’interfaccia Liquid Glass, nuovo corso per iOS 26 e un…
Aggiornamenti software, meno sprechi e più diritti per gli utenti: ecco le leggi europee Energy…
Computex 2025 conferma Taipei come centro globale dell’innovazione AI, tra supercomputer, chip avanzati e soluzioni…
Via Italia 50, 20900 Monza (MB) - C.F. e Partita IVA: 03339380135
Reg. Trib. Milano n. 409 del 21/7/2011 - ROC n. 21424 del 3/8/2011
