iOS 11 相機 App 新增了 QR 碼掃瞄功能,掃瞄 QR 碼,就可以讀取 QR 碼上的資訊進入網站、連接 WiFi、打開 App 下載連結、閱讀文字、存取電郵和 SMS、存取通訊錄和行事曆資料等等,但是這個功能卻隱藏了一個令你一掃 QR 碼即入釣魚網站的漏洞。
Infosec 網站最近透露了 iOS 11 相機 App 的一個漏洞,就是可以用 QR 碼令用戶沒有察覺之下打開來歷不明的釣魚網站。他們透過建立一個特別的 QR 碼,用戶以 iOS 11 相機 App 掃瞄之後,有關漏洞就會以一段沒有惡意的文字作掩飾引誘用戶打開 Safari 連結,從而騎劫到另一個網站,如果網站本身有其他漏洞,是可以導致 iPhone 的個人資料被洩漏甚至令 iPhone 系統出現問題。
為了證實上述漏洞存在以及危險程度,Infosec 利用上述漏洞製作了示範用無害漏洞 QR 碼,以 Facebook 連結作掩飾實際上打開的是他們網站,QR 碼在下方。
即使有關漏洞已經 2017 年 12 月 23 日上報給蘋果,蘋果至今仍然未修補護這個問題,以後用 iOS 11 裝置掃瞄 QR 碼的時候就要更小心了。
Comments are closed.