Scoperto bug nel lettore QR code della fotocamera iOS

Una vulnerabilità nel modo in cui l’app della fotoocamera iOS gestisce i QR code potrebbe potenzialmente causare il reindirizzamento inconsapevole di utenti a destinazioni dannose.

Scoperto bug nel lettore QR code della fotocamera iOS

Il ricercatore di sicurezza Roman Mueller di Infosec ha scoperto di recente che un difetto nella funzione di scansione automatica dei codici QR della fotocamera può comportare la visualizzazione di un collegamento e l’invio di utenti da qualche altra parte se fanno clic su di esso. Mueller ha fornito un esempio del bug in questione in cui un codice QR scansionato da iPhone mostra un collegamento a Facebook.com tramite il browser Safari, ma in realtà invia gli utenti al proprio sito:

Se si esegue la scansione con l’app fotocamera di iOS (11.2.1), verrà visualizzata questa notifica:

Apri “facebook.com” in Safari

Ma se lo tocchi per aprire il sito, aprirà invece https://infosec.rm-it.de/

Per ottenere questo risultato, è sufficiente che il codice QR incorpori un collegamento in questo formato:

https://xxx\@facebook.com:443@infosec.rm-it.de/

Ecco il tweet in merito:

Ingannare il lettore Qr Code di iOS

Mueller ha offerto una spiegazione del perché il trucco funziona:

Il parser dell’URL dell’applicazione fotocamera ha un problema nel rilevare il nome host in questo URL allo stesso modo di Safari.

Probabilmente rileva “xxx \” come nome utente da inviare a “facebook.com:443”.

Mentre Safari potrebbe prendere la stringa completa “xxx \ @ facebook.com” come nome utente e “443” come password da inviare a infosec.rm-it.de.

Bug Qr Code iPhone

Qualsiasi utente che ha scansionato il QR code vede un messaggio che lo avverte che sta per andare su Facebook e finisce invece sul sito web di Infosec. Non è difficile immaginare come possa essere usato per reindirizzare gli utenti per truffare siti Web o diffondere malware.

I codici QR dannosi potrebbero non essere in cima alla lista quando si tratta di vulnerabilità della sicurezza, soprattutto perché possono già essere utilizzati per indurre gli utenti a fare clic sui reindirizzamenti utilizzando un servizio di reindirizzamento URL come Bitly. Ma chiunque può facilmente creare un tale codice e quindi diffonderlo sia fisicamente che tramite qualsiasi sito Web che consente l’hosting di immagini e questo trucco può indurre gli utenti a pensare che stiano andando verso un sito legittimo anche se sono abbastanza prudente da non fare clic su un link Bitly.

In base a quanto sostenuto da Mueller, ha informato Apple del bug il 23 dicembre 2017 e il bug non è stato ancora aggiornato, neanche con l’ultimo aggiornamento iOS. In ogni caso, fino a quando questo bug non verrà risolto, gli utenti di iPhone potrebbero voler essere ancora più giudiziosi del normale quando fanno clic sui QR code