La función de escaneo de código QR en la aplicación de la cámara tiene un error extraño en el analizador.
Cuando se escanea, un código QR especialmente diseñado puede llevar al usuario a un sitio web malicioso en lugar de cualquier URL subyacente que se muestre en el banner de notificación.
Como se detalla en un nuevo informe de Infosec, hay un error en el analizador de códigos QR de iOS 11 que permite a la aplicación de la cámara escanear automáticamente los códigos QR e interpretarlos.
TUTORIAL: Cómo unirse rápidamente a redes Wi-Fi usando la cámara de su iPhone
El problema es que un código QR especialmente construido mostrará un nombre de host poco sospechoso en un banner de notificación pero abrirá otra URL en Safari.
Puede probarlo usted mismo escaneando el código QR incrustado a continuación con la aplicación de cámara en iOS 11 (nota: Escanear códigos QR debe estar habilitado en Configuración → Cámara).
Al escanear el código, aparece el mensaje "Abrir 'facebook.com' en Safari" en el banner de notificación, pero al tocarlo se abre el sitio web https://infosec.rm-it.de/.
Como resultado, esto se puede lograr incrustando la URL en el formato https: // xxx \ @ facebook.com: [email protected]/ donde el analizador mostrará la primera URL pero la notificación en realidad llevarte a la otra URL.
Los lectores de códigos QR de terceros también son susceptibles a este problema.
De hecho, algunas de estas aplicaciones lo ponen en mayor riesgo al abrir automáticamente el enlace inmediatamente después de escanear el código. Otros escáneres de códigos QR de terceros simplemente pueden bloquearse.
Este problema se informó al equipo de seguridad de Apple el 23 de diciembre de 2017, pero no se ha solucionado hasta hoy. Ahora que la blogósfera de Apple ha destacado esta vulnerabilidad potencialmente grave, es de esperar que Apple publique una solución.
La aplicación Cámara en iOS 11 reconoce códigos QR variados, incluidos los códigos de configuración de HomeKit, contactos, calendarios, mapas, mensajes, configuraciones de red, sitios web, URL de devolución de llamada, etc..
¿Ya probaste el escaneo de códigos QR de iOS 11??
Háganos saber en los comentarios.
