У камері iOS 11 знайдений критичний баг

Уразливість в зчитувачі QR-кодів, вбудованого в додаток камери iOS, може дозволити направити користувачів на шкідливий сайт без їх відома.

Починаючи з iOS 11, ви можете просто направити свій iPhone на QR-код, використовуючи стандартний додаток для камери. Якщо в QR-код “зашите” посилання, iOS показує вам її адресу і просить натиснути для підтвердження того, що ви хочете відвідати сайт.

Дослідники з Infosec помітили, що є спосіб обдурити користувача. Повідомлення буде пропонувати перейти на один сайт, а по факту це може бути зовсім інше місце.

Не вірите? Спробуйте самі, відсканувавши код нижче.

iPhone скаже, що вам пропонується перейти на facebook.com. На ділі ж, вас перекине на статтю про цю уразливість за адресою https://infosec.rm-it.de/.

Виглядає це наступним чином:

Експерти повідомили про уразливість ще 23 грудня, але вона не була усунена досі. Навіть в iOS 11.3 beta 6. Ми перевірили.

А тепер уявіть, як будь-який зловмисник спробує приховати, наприклад, фейковий сайт Apple під виглядом справжнього. Довірливий користувач перейде за посиланням з QR-коду і буде зі спокійною душею вводити дані свого Apple ID там, де цього робити не потрібно.