Una vulnerabilità nel modo in cui l’app della fotoocamera iOS gestisce i QR code potrebbe potenzialmente causare il reindirizzamento inconsapevole di utenti a destinazioni dannose.
Il ricercatore di sicurezza Roman Mueller di Infosec ha scoperto di recente che un difetto nella funzione di scansione automatica dei codici QR della fotocamera può comportare la visualizzazione di un collegamento e l’invio di utenti da qualche altra parte se fanno clic su di esso. Mueller ha fornito un esempio del bug in questione in cui un codice QR scansionato da iPhone mostra un collegamento a Facebook.com tramite il browser Safari, ma in realtà invia gli utenti al proprio sito:
Se si esegue la scansione con l’app fotocamera di iOS (11.2.1), verrà visualizzata questa notifica:
Apri “facebook.com” in Safari
Ma se lo tocchi per aprire il sito, aprirà invece https://infosec.rm-it.de/
Per ottenere questo risultato, è sufficiente che il codice QR incorpori un collegamento in questo formato:
https://xxx\@facebook.com:443@infosec.rm-it.de/
Ecco il tweet in merito:
Mueller ha offerto una spiegazione del perché il trucco funziona:
Il parser dell’URL dell’applicazione fotocamera ha un problema nel rilevare il nome host in questo URL allo stesso modo di Safari.
Probabilmente rileva “xxx \” come nome utente da inviare a “facebook.com:443”.
Mentre Safari potrebbe prendere la stringa completa “xxx \ @ facebook.com” come nome utente e “443” come password da inviare a infosec.rm-it.de.
Qualsiasi utente che ha scansionato il QR code vede un messaggio che lo avverte che sta per andare su Facebook e finisce invece sul sito web di Infosec. Non è difficile immaginare come possa essere usato per reindirizzare gli utenti per truffare siti Web o diffondere malware.
I codici QR dannosi potrebbero non essere in cima alla lista quando si tratta di vulnerabilità della sicurezza, soprattutto perché possono già essere utilizzati per indurre gli utenti a fare clic sui reindirizzamenti utilizzando un servizio di reindirizzamento URL come Bitly. Ma chiunque può facilmente creare un tale codice e quindi diffonderlo sia fisicamente che tramite qualsiasi sito Web che consente l’hosting di immagini e questo trucco può indurre gli utenti a pensare che stiano andando verso un sito legittimo anche se sono abbastanza prudente da non fare clic su un link Bitly.
In base a quanto sostenuto da Mueller, ha informato Apple del bug il 23 dicembre 2017 e il bug non è stato ancora aggiornato, neanche con l’ultimo aggiornamento iOS. In ogni caso, fino a quando questo bug non verrà risolto, gli utenti di iPhone potrebbero voler essere ancora più giudiziosi del normale quando fanno clic sui QR code
I Podcast hanno conquistato l'Italia, qui la lista dei migliori Podcaster Italiani in base al…
Le due startup italiane SWITCH e Wayla raccolgono fondi per rivoluzionare il trasporto urbano con…
Il report di NTT DATA esplora il divario tra innovazione AI e responsabilità, evidenziando l'importanza…
Microsoft ha presentato il Majorana 1, un chip quantistico topologico che punta a risolvere problemi…
L’intelligenza artificiale può simulare, comprendere e suscitare emozioni, creando un dialogo emotivo che richiede consapevolezza.…
Meta AI ha sviluppato una tecnologia per decodificare l'attività cerebrale in testo tramite reti neurali…
Via Italia 50, 20900 Monza (MB) - C.F. e Partita IVA: 03339380135
Reg. Trib. Milano n. 409 del 21/7/2011 - ROC n. 21424 del 3/8/2011
