Uma vulnerabilidade foi encontrada no aplicativo de câmera do iOS, que pode ser explorada para redirecionar os usuários para sites mal-intencionados. Conforma relata o The Hackers News, o problema está no leitor de QR Code nativo, que foi introduzido no iOS 11.
O pesquisador de segurança Roman Mueller descobriu que o leitor não consegue detectar o nome do host na URL, o que permite que cibercriminosos manipulem a URL exibida na notificação, levando os usuários a acessarem sites maliciosos ao invés do site correto.
Para testar a sua teoria, Mueller criou um QR Code com a URL “https://xxx\@facebook.com:443@infosec.rm-it.de/”. Ao digitalizar o código através da câmera, o iOS mostra a notificação “Abra o ‘facebook.com’ no Safari”; porém, a página que abre é a “https://infosec.rm-it.de/”.
O pesquisador relatou sobre a falha para a Apple em dezembro do ano passado, mas a empresa ainda não corrigiu o bug até o momento.
Tags: