iOS 11的Camera app有QR Code漏洞,可能将用户导向恶意网站

时间:2018-04-04 10:23:46 来源:芜湖网
默认
特大
宋体
黑体
雅黑
楷体
条评论

德国安全研究人员发现 ,iOS 11的相机app含有漏洞,让用户可能被恶意QR Code导向不安全的网站。

一般情况下,iOS 的Camera app对准QR code后,其内建的QR Code读取器会有通知显示网站URL,并将用户导向该网站。但安全研究人员Roman Mueller发现,iOS 的Camera app中的URL解析器存在一项漏洞,使它无法正确侦测QR Code URL中的主机名称,让攻击者可以假造通知中显示的URL,达到诱骗使用者连向第三方网站的目的。

研究人员并示范了一个QR Code,其URL为 https://xxx \@社交网站.com:443@ infosec.rm-it.de/ 。但因Camera app的漏洞,因此iPhone 通知显示“以Safari开启 社交网站.com ”,然而当用户点击下去,就会被导向研究人员设立的 https://infosec.rm-it.de/ 网站。

研究人员怀疑问题出在Camera app和Safari解析上的差异:Camera app可能将xxx\视为用户名称,目的地为 社交网站.com:443 ,但Safari却将xxx\@ 社交网站.com 解析为用户名称,而将443认为要传送给 infosec.rm-it.de 的密码。

研究人员去年12月23日已将问题通报苹果,但到今年3月24日苹果似乎仍未修复,于是决定公布问题。

Copyright © 2012-2019 芜湖网 版权所有 皖ICP备18025966号 关于我们 | 广告服务 | 诚聘英才 | 联系我们 | 滚动新闻 | 免责申明