باگ موجود در QR کد Apple iOS 11 میتواند شما را به سایتهای مخرب هدایت کند!
یک آسیبپذیری جدید در برنامه دوربین iOS کشف شده است که میتواند به منظور هدایت کاربر به سایتهای مخرب بدون اطلاع وی مورد سوءاستفاده قرار گیرد.
این آسیبپذیری که به صورت درونساخت در بارکدخوان دستگاههای اپل قرار دارد، آخرین نسخه سیستمعامل اپل یعنی iOS11 را در دستگاههای iPhone، iPad و iPod تحت تأثیر قرار داده است.
در iOS 11 اپل قابلیت جدیدی ارائه نموده است که کاربران بتوانند با استفاده از دوربین خود گوشی و بدون نیاز به هیچگونه برنامه ثالثی به صورت خودکار کدهای QR را بخوانند.
برای استفاده از این قابلیت باید دوربین گوشی iPhone یا iPad خود را باز نموده و دستگاه را بر روی یک QR کد بگیرید. اگر QR کد شامل آدرس URL باشد، پیغامی با یک لینک آدرس به شما نشان داده خواهد شد که از شما میخواهد برای مشاهده آدرس در مرورگر سافاری بر روی لینک کلیک نمایید.
Roman Mueller، محقق امنیتی میگوید "مراقب باشید، ممکن است URLی که به شما نشان داده شد را نبینید."
به گفتهی این محقق، تجزیهکننده URL در بارکدخوان دوربینهای iOS قادر به شناسایی نام میزبان در URL نیست و همین ضعف به مهاجمان اجازه میدهد تا URL نشان داده شده در پیغام را دستکاری نموده و کاربران را برای مشاهده سایتهای مخرب فریب دهند.
به عنوان یک نمونه آزمایشی Mueller یک QRکد با URL زیر ایجاد نمود:
https://xxx\@facebook.com:۴۴۳@infosec.rm-it.de/
اگر شما آن را با دوربین iOS اسکن نمایید، پیغام زیر نشان داده خواهد شد:
Open "facebook.com" in Safari
حال اگر شما بر روی لینک کلیک کنید، عوض سایت فیسبوک آدرس زیر باز خواهد شد:
QR (Quick Response) کد، یک شیوهی سریع و راحت برای به اشتراک گذاشتن اطلاعات میباشد، اما زمانی این مشکل خطرناکتر شده و خود را بیشتر نشان میدهد که میخواهید از کدهای QR برای پرداختهای اینترنتی در سایتهای بانکی استفاده نمایید.
محققان پیش از این، در دسامبر سال گذشته این نقص را به اپل گزارش داده بودند اما شرکت اپل تاکنون اقدامی در جهت رفع این باگ ننموده است.
منبع: https://thehackernews.com/2018/03/ios-qr-code-camera.html