Escanear códigos QR en la aplicación iOS 11 Camera podría llevarlo a sitios web maliciosos

La función de escaneo de código QR en la aplicación de la cámara tiene un error extraño en el analizador.

Cuando se escanea, un código QR especialmente diseñado puede llevar al usuario a un sitio web malicioso en lugar de cualquier URL subyacente que se muestre en el banner de notificación.

Como se detalla en un nuevo informe de Infosec, hay un error en el analizador de códigos QR de iOS 11 que permite que la aplicación de la cámara escanee automáticamente los códigos QR y los interprete.

TUTORIAL: Cómo unirse rápidamente a redes Wi-Fi con la cámara de su iPhone

El problema es que un código QR especialmente construido mostrará un nombre de host poco fiable en un banner de notificación pero abrirá otra URL en Safari.

Puede probarlo usted mismo escaneando el código QR incrustado a continuación con la aplicación de cámara en iOS 11 (nota: Escanear códigos QR debe estar habilitado en Configuración → Cámara)

Al escanear el código, aparece el mensaje “Abrir” facebook.com “en Safari” en el banner de notificación, pero al tocarlo se abre el sitio web https://infosec.rm-it.de/.

Como resultado, esto se puede lograr incrustando la URL en el formato https: // xxx @ facebook.com:[email protected]/ donde el analizador mostrará la primera URL pero la notificación lo llevará a la otra URL.

Los lectores de códigos QR de terceros también son susceptibles a este problema.

De hecho, algunas de estas aplicaciones realmente lo ponen en mayor riesgo al abrir automáticamente el enlace inmediatamente después de escanear el código. Es posible que otros escáneres de códigos QR de terceros simplemente se bloqueen.

Este problema se informó al equipo de seguridad de Apple el 23 de diciembre de 2017, pero no se ha solucionado hasta hoy. Ahora que la blogósfera de Apple ha resaltado esta vulnerabilidad potencialmente grave, es de esperar que Apple publique una solución pronto.

La aplicación Cámara en iOS 11 reconoce códigos QR variados, incluidos los códigos de configuración de HomeKit, contactos, calendarios, mapas, mensajes, configuraciones de red, sitios web, URL de devolución de llamada, etc.

¿Ya probaste el escaneo de códigos QR de iOS 11?

Háganos saber en los comentarios.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *