有常在觀看我們電腦王阿達網站報導的朋友,應該都透過教學分享,知道了新版的 iOS 11 中,已經可以直接透過內建的 Camera app 來掃描 QR Code 的方便功能吧?不過,這項功能最近被來自慕尼黑的研究員給發現了一個解析器漏洞,將可讓 QR Code 偽裝成正常的網站資訊,並在你按下以 Safari 打開的通知之後,被導往其他的網頁之中。
iOS 11 內建的 QR Code 掃碼功能,有偽裝導向惡意網站的 Bug
iOS 直接在內建相機功能中提供的 QR Code 掃碼功能,由於相當直覺好用的關係,其實小編也時常直接利用來掃描前往特定的網頁瀏覽。這項功能在掃描的時候,將會彈出一個「網站行動條碼」的通知,使用者將可透過此通知參考到底即將前往的是什麼網頁。然而,像是上圖這樣看起來將會直接被連到「facebook.com」的連結,居然可以被竄改導引到別的網站去。
▲圖片來源:Roman Mueller
根據開發者 Roman Mueller 在其網站上所分享的最新系統漏洞,他發現了 iOS 11 內建掃碼功能存在有一個解析器的嚴重漏洞,將會無法正確偵測主機名稱而誤認網址中的特定字串為特定網址,但在傳送到了 Safari 開啟時,則是會被解析為別的網頁位址。駭客將有機會利用這樣的方式,來欺騙使用者的手機來導向惡意的頁面之中。重點是,這項 Bug 雖然他在去年 12 月 23 日就已經回報給蘋果,但到了 2018 年 3 月 24 日,Apple 都還未對此有所回應或做出修正。
所以,近期有在使用此功能的朋友,可能還是要稍微注意一下掃出來轉向過去的網址是否有問題,避免不知不覺將自己的資訊就交給了惡意網站啊。
引用來源:Roman Mueller