iOS 相機內建的 QR Code 掃描功能,竟有可被導向惡意網站的漏洞

有常在觀看我們電腦王阿達網站報導的朋友,應該都透過教學分享,知道了新版的 iOS 11 中,已經可以直接透過內建的 Camera app 來掃描 QR Code 的方便功能吧?不過,這項功能最近被來自慕尼黑的研究員給發現了一個解析器漏洞,將可讓 QR Code 偽裝成正常的網站資訊,並在你按下以 Safari 打開的通知之後,被導往其他的網頁之中。

QR Code

iOS 11 內建的 QR Code 掃碼功能,有偽裝導向惡意網站的 Bug

iOS 直接在內建相機功能中提供的 QR Code 掃碼功能,由於相當直覺好用的關係,其實小編也時常直接利用來掃描前往特定的網頁瀏覽。這項功能在掃描的時候,將會彈出一個「網站行動條碼」的通知,使用者將可透過此通知參考到底即將前往的是什麼網頁。然而,像是上圖這樣看起來將會直接被連到「facebook.com」的連結,居然可以被竄改導引到別的網站去。

▲圖片來源:Roman Mueller

根據開發者 Roman Mueller 在其網站上所分享的最新系統漏洞,他發現了 iOS 11 內建掃碼功能存在有一個解析器的嚴重漏洞,將會無法正確偵測主機名稱而誤認網址中的特定字串為特定網址,但在傳送到了 Safari 開啟時,則是會被解析為別的網頁位址。駭客將有機會利用這樣的方式,來欺騙使用者的手機來導向惡意的頁面之中。重點是,這項 Bug 雖然他在去年 12 月 23 日就已經回報給蘋果,但到了 2018 年 3 月 24 日,Apple 都還未對此有所回應或做出修正。

所以,近期有在使用此功能的朋友,可能還是要稍微注意一下掃出來轉向過去的網址是否有問題,避免不知不覺將自己的資訊就交給了惡意網站啊。

引用來源:Roman Mueller

延伸閱讀:

再也不用安裝QR Code 軟體啦!iOS 11 內建相機支援掃描QR Code 囉

macOS 新惡意軟體「 MaMi 」,將竄改你的 DNS 導流到惡意網站

您也許會喜歡: