La faille a été découverte par Infosec et touche tous les appareils sous iOS 11.x. Le système propose un lecteur de QR code intégré dans l'application Appareil photo.

En pointant un code, l'interface affiche automatiquement le lien correspondant. L'utilisateur doit ensuite appuyer pour confirmer qu'il veut bien visiter la page.

Mais il est possible de masquer la véritable adresse. Comme le montre Infosec, l'exploitation est simple, puisque les deux URL sont collées par un antislash. iOS affiche alors la première, mais emmène l'utilisateur vers la seconde.

Si les détails sont donnés, c'est qu'Apple a été prévenue le 23 décembre, mais n'a toujours pas corrigé le problème. Plus de trois mois se sont écoulés et le danger existe donc toujours pour les utilisateurs.

On imagine facilement des QR codes renvoyant vers des sites malveillants. Le danger de malware est limité sur iOS, mais pas celui de faux formulaires pour dérober des renseignements à l'utilisateur.