Ден Пражак Незважаючи на те, що iOS 11 є потужною системою в багатьох відношеннях, її стабільність і безпека не є такими взірцевими. У той час як Apple все ще працює над виправленням останньої помилки, яка дозволяла Siri читати приховані повідомлення з екрана блокування, на вихідних було виявлено ще один недолік безпеки, пов’язаний із рідною програмою Камера та її здатністю сканувати шкідливі QR-коди.
Це може бути зацікавити вас
сервер Інфосек виявив, що програма Камера, а точніше її функція для сканування QR-кодів, за певних обставин не може розпізнати фактичний веб-сайт, на який буде переспрямовано користувача. Таким чином, зловмисник може відносно легко перевести користувача на певний веб-сайт, а додаток повідомляє про перенаправлення на зовсім інші, безпечні сторінки.
Таким чином, хоча користувачі побачать, що вони будуть перенаправлені на facebook.com, наприклад, насправді, після натискання підказки буде завантажено веб-сайт https://jablickar.cz/. Приховати справжню адресу в QR-коді та обдурити читача в iOS 11 для зловмисника не складно. Просто додайте кілька символів до адреси під час створення QR-коду. Оригінальна згадана URL-адреса після додавання необхідних символів виглядає так: https://xxx\@facebook.com:443@jablickar.cz/.
Фото галерея
Хоча може здатися, що помилку було виявлено зовсім недавно і Apple скоро її виправить, це не так. Насправді Infosec заявив у своїй публікації, що це було доведено до відома служби безпеки Apple ще 23 грудня 2017 року, і, на жаль, це не було виправлено до сьогодні, тобто після більш ніж трьох місяців. Тому будемо сподіватися, що принаймні у відповідь на висвітлення помилки в ЗМІ Apple виправить її в майбутньому оновленні системи.
