Connexion
Abonnez-vous

Sur iOS, on peut tromper le lecteur QR code avec une fausse URL de destination

Sur iOS, on peut tromper le lecteur QR code avec une fausse URL de destination

Le 27 mars 2018 à 09h16

La faille a été découverte par Infosec et touche tous les appareils sous iOS 11.x. Le système propose un lecteur de QR code intégré dans l'application Appareil photo.

En pointant un code, l'interface affiche automatiquement le lien correspondant. L'utilisateur doit ensuite appuyer pour confirmer qu'il veut bien visiter la page.

Mais il est possible de masquer la véritable adresse. Comme le montre Infosec, l'exploitation est simple, puisque les deux URL sont collées par un antislash. iOS affiche alors la première, mais emmène l'utilisateur vers la seconde.

Si les détails sont donnés, c'est qu'Apple a été prévenue le 23 décembre, mais n'a toujours pas corrigé le problème. Plus de trois mois se sont écoulés et le danger existe donc toujours pour les utilisateurs.

On imagine facilement des QR codes renvoyant vers des sites malveillants. Le danger de malware est limité sur iOS, mais pas celui de faux formulaires pour dérober des renseignements à l'utilisateur.

Le 27 mars 2018 à 09h16

Commentaires (2)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Ahah faurait troller, tu colle des tag dans le metro avec un lien vers un site “normal” genre la RATP et ça te redirige vers des sites terroristes, NSFW, d’extreme droite, … <img data-src=" />

votre avatar

Hum, ça semble être un bête problème de parseur… Étonnant qu’ils n’aient pas corrigé plus tôt, 3 mois c’est long pour un truc aussi simple.

Sur iOS, on peut tromper le lecteur QR code avec une fausse URL de destination

Fermer