Стандартное приложение Camera получило еще несколько хитростей, когда вышла iOS 11, и лучшим дополнением на сегодняшний день стало включение встроенного считывателя QR-кода, поскольку это означало, что сторонних приложений больше не будет только для сканирования QR-кода. Однако встроенный в сканер QR-кодов Apple имеет уязвимость, которая может позволить хакерам направить вас на взломанный веб-сайт, даже если вы этого не заметите.

Данная уязвимость, обнаруженная консультантом по безопасности Романом Мюллером, возникает, когда приложение Camera сканирует QR-код со ссылкой на веб-сайт. После сканирования он неправильно анализирует URL-адрес, что может привести к появлению всплывающего уведомления с указанием одного доменного имени, а при переходе по нему вы перейдете к совершенно другому.

Используя пример Романа, URL-адрес в QR-коде будет встроен следующим образом:

https: // ххх \ @ facebook.com: 443@infosec.rm-it.de/

А после сканирования QR-кода всплывающее окно в приложении «Камера» будет отображать «Открыть« Facebook »в Safari», но вместо этого вы перейдете к infosec.rm-it.de.

Хотя Роман обнаружил это в iOS 11.2.1, мы протестировали его в iOS 11.2.6, бета-версии iOS 11.3 и iOS 11.3, и она сохранилась во всех версиях. Об этом сообщении Apple было сообщено 23 декабря 2017 года, но он не был официально рассмотрен до 24 апреля 2018 года, когда iOS 11.3.1 была выпущена для общественности.

13 QR-сканеров, которые выиграли't Send You to Malicious Webpages on Your iPhone13 QR-сканеров, которые выиграли't Send You to Malicious Webpages on Your iPhone

Все, что нужно сделать хакеру, чтобы обманным путем заставить вас отказаться от своих учетных данных, — это создать убедительный клон веб-сайта, который, как вы думаете, вы собираетесь использовать, в комплекте с URL-адресом, который будет выглядеть почти точно так же, как и тот, который он маскирует, а затем введите это там в сети и фишинге, пока у него или нее не будет достаточно того, что они хотят.

Обновление до iOS 11.3.1, чтобы исправить эту проблему

Apple, наконец, исправила проблему, помеченную Apple как CVE-2018-4187, в обновлении iOS 11.3.1 от 24 апреля 2018 года. Так что, если вам нравится идея использовать приложение Camera для сканирования QR-кодов, просто обновитесь до iOS 11.3.1 на вашем iPhone.

Отключите встроенный сканер QR-кода камеры

Независимо от того, сканируете ли вы QR-коды ежедневно или почти никогда, вы захотите отключить сканер QR-кодов в приложении «Камера», если вы беспокоитесь об этом с точки зрения безопасности. Несмотря на то, что Apple устранила проблему, это просто показывает, насколько легко хакерам воспользоваться вами с помощью стандартных приложений Apple.

Хотя вероятность того, что вы сканируете вредоносный QR-код, относительно мала, вы никогда не будете в безопасности. Обновите iOS 11.3.1 или откройте приложение «Настройки», нажмите «Камера», затем отключите «Сканировать QR-коды».

13 QR-сканеров, которые выиграли't Send You to Malicious Webpages on Your iPhone13 QR-сканеров, которые выиграли't Send You to Malicious Webpages on Your iPhone

Тем временем используйте сторонний сканер QR-кода

Если вы сканируете множество QR-кодов и пока не хотите обновляться до iOS 11.3.1, возможно, вы захотите вернуться к одному из сторонних сканеров QR-кодов, пока не будете готовы снова доверять Apple. , Мы лично проверили все бесплатные считыватели QR-кодов ниже, и все они не смогли правильно загрузить вредоносную веб-страницу. Некоторые проводили поиск строки в Интернете, в то время как другие просто не читали URL-адрес вообще, обрабатывали его как ссылку на электронную почту или просто ломали приложение. В любом случае, это было очевидно и не попадало прямо на вредоносный сайт.

  • QR-ридер для iPhone
  • QR-сканер и считыватель штрих-кодов
  • Бесплатный QR Code Reader Сканер штрих-кода для iPhone
  • QR Code Reader ·
  • QR Code Reader — QR-сканер Генератор QR-кода
  • Сканер QR-кода iRocks
  • QR Code Reader Создатель.
  • Считыватель QR-кодов и сканер
  • QR_Scanner
  • Сканер штрих-кода — считыватель QR-кодов QR-сканер
  • Bakodo — сканер штрих-кода и считыватель штрих-кода QR
  • QR Code Scanner — QR Reader Сканер штрих-кода
  • FreeScanner

13 QR-сканеров, которые выиграли't Send You to Malicious Webpages on Your iPhone13 QR-сканеров, которые выиграли't Send You to Malicious Webpages on Your iPhone13 QR-сканеров, которые выиграли't Send You to Malicious Webpages on Your iPhone
Три разных сканера читают один и тот же QR-код.

Как уже упоминалось ранее, вероятность того, что вы сделаете снимок вредоносного QR-кода, невелика, но это определенно возможно, поэтому стороннее приложение может быть полезно, если вы используете iOS 11.3 или ниже. В противном случае обязательно установите iOS 11.3.1 для защиты.

Примечание редактора: статья обновлена ​​24 апреля 2018 года, когда Apple выпустила iOS 11.3.1.

Оцените статью!