苹果 iOS 可配合内建“相机”App 扫瞄 QR 条码,用以打开 Safari 浏览器浏览 QR 条码背后的网站。然而最近有资讯安全公司发现,有心人会包装网址,诱导用户浏览不安全网页。用户在画面看到的域名,与实际浏览的网页不同。
iOS 11 新增的 QR 条码辨识功能,让用户使用 iPhone、iPad 等 iOS 设备的相机对准 QR 条码时,会显示出条码背后的网址,用户确认后便可利用 Safari 浏览器打开该网站。德国资讯安全公司 Infosec 发现,只要加工网址,用户确认画面时看到的网域,会与实际浏览网址的网域不同。
Infosec 首先使用一个网址“https://infosec.rm-it.de/”制作 QR 条码,iOS 能正常读取该条码,并弹出“Open “infosec.rm-it.de” in Safari”的正常确认视窗。
但如果把网址更改成“https://xxx\@facebook.com:443@infosec.rm-it.de/”,iOS 的“相机”App 却会错误判断 QR 条码网址的域名,显示出“Facebook.com”的确认画面。
▲ 打开已动手脚的 QR 条码,画面虽然表示会连接到 Facebook.com……
▲ 然而实际上会移到不同网域的网页。图为 Infosec 公司示范网页。(Source: Infosec )
Infosec 认为这是 iOS 的程序错误,有心人可利用这种方式,制作误导手机用户的 QR 条码,诱导用户进入一些不安全网站或钓鱼网站,呼吁苹果尽快修复错误。
- iOS camera QR code URL parser bug
(本文由 Unwire HK 授权转载;首图来源: pixabay )
