Dan Pražák Hoewel iOS 11 in veel opzichten een capabel systeem is, zijn de stabiliteit en veiligheid ervan niet zo voorbeeldig. Terwijl Apple nog steeds werkt aan het oplossen van de nieuwste bug waarmee Siri verborgen berichten van het vergrendelscherm kan lezen, werd dit weekend een ander beveiligingslek onthuld met betrekking tot de native Camera-app en de mogelijkheid om kwaadaardige QR-codes te scannen.
Het zou kunnen interesseer je
server Infosec kwam met de bevinding dat de Camera-applicatie, of beter gezegd de functie ervan voor het scannen van QR-codes, onder bepaalde omstandigheden niet in staat is de daadwerkelijke website te herkennen waarnaar de gebruiker wordt doorverwezen. Zo kan een aanvaller de gebruiker relatief eenvoudig naar een bepaalde website krijgen, terwijl de applicatie informeert over de omleiding naar geheel andere, veilige pagina's.
Terwijl gebruikers zien dat ze bijvoorbeeld worden doorgestuurd naar facebook.com, wordt in werkelijkheid na het klikken op de prompt de website https://jablickar.cz/ geladen. Het echte adres verbergen in een QR-code en de lezer voor de gek houden in iOS 11 is niet moeilijk voor een aanvaller. Voeg gewoon een paar tekens toe aan het adres bij het maken van de QR-code. De origineel genoemde URL ziet er als volgt uit na het toevoegen van de benodigde tekens: https://xxx\@facebook.com:443@jablickar.cz/.
Photo Gallery
Hoewel het lijkt alsof de bug pas onlangs is ontdekt en Apple deze binnenkort zal repareren, is dit niet het geval. In feite verklaarde Infosec in zijn post dat het al op 23 december 2017 onder de aandacht van het beveiligingsteam van Apple was gebracht, en helaas is het pas vandaag, d.w.z. na meer dan drie maanden, opgelost. Laten we dus hopen dat Apple, in ieder geval als reactie op de berichtgeving in de media over de bug, deze in een komende systeemupdate zal oplossen.
