摩尔芯闻 > 行业新闻 > 半导体 > iOS 读取 QR 条码功能有问题,可被利用诱导至钓鱼网站

iOS 读取 QR 条码功能有问题,可被利用诱导至钓鱼网站

Unwire HK ·2018-03-28 10:15·TechNews
阅读:2172
qr-code-1903447_1280-624x332

苹果 iOS 可配合内建“相机”App 扫瞄 QR 条码,用以打开 Safari 浏览器浏览 QR 条码背后的网站。然而最近有资讯安全公司发现,有心人会包装网址,诱导用户浏览不安全网页。用户在画面看到的域名,与实际浏览的网页不同。

iOS 11 新增的 QR 条码辨识功能,让用户使用 iPhone、iPad 等 iOS 设备的相机对准 QR 条码时,会显示出条码背后的网址,用户确认后便可利用 Safari 浏览器打开该网站。德国资讯安全公司 Infosec 发现,只要加工网址,用户确认画面时看到的网域,会与实际浏览网址的网域不同。

Infosec 首先使用一个网址“https://infosec.rm-it.de/”制作 QR 条码,iOS 能正常读取该条码,并弹出“Open “infosec.rm-it.de” in Safari”的正常确认视窗。

但如果把网址更改成“https://xxx\@facebook.com:443@infosec.rm-it.de/”,iOS 的“相机”App 却会错误判断 QR 条码网址的域名,显示出“Facebook.com”的确认画面。

▲ 打开已动手脚的 QR 条码,画面虽然表示会连接到 Facebook.com……

▲ 然而实际上会移到不同网域的网页。图为 Infosec 公司示范网页。(Source: Infosec )

Infosec 认为这是 iOS 的程序错误,有心人可利用这种方式,制作误导手机用户的 QR 条码,诱导用户进入一些不安全网站或钓鱼网站,呼吁苹果尽快修复错误。

  • iOS camera QR code URL parser bug

(本文由 Unwire HK 授权转载;首图来源: pixabay )

文章来源:http://technews.cn/2018/03/28/ios-camera-qr-code-url-parser-bug/

分享到:
微信 新浪微博 QQ空间 LinkedIn

上一篇:科技早报 – 无人驾驶汽车前景不妙、穆迪下调特斯拉信用评级 – 20180328

下一篇:乐视影业更名“乐创文娱” 乐视控股股份将转让

打开摩尔直播,更多新闻内容
半导体大咖直播分享高清观看
立即下载