Sur iOS, on peut tromper le lecteur QR code avec une fausse URL de destination
Le 27 mars 2018 à 09h16
1 min
Logiciel
Logiciel
La faille a été découverte par Infosec et touche tous les appareils sous iOS 11.x. Le système propose un lecteur de QR code intégré dans l'application Appareil photo.
En pointant un code, l'interface affiche automatiquement le lien correspondant. L'utilisateur doit ensuite appuyer pour confirmer qu'il veut bien visiter la page.
Mais il est possible de masquer la véritable adresse. Comme le montre Infosec, l'exploitation est simple, puisque les deux URL sont collées par un antislash. iOS affiche alors la première, mais emmène l'utilisateur vers la seconde.
Si les détails sont donnés, c'est qu'Apple a été prévenue le 23 décembre, mais n'a toujours pas corrigé le problème. Plus de trois mois se sont écoulés et le danger existe donc toujours pour les utilisateurs.
On imagine facilement des QR codes renvoyant vers des sites malveillants. Le danger de malware est limité sur iOS, mais pas celui de faux formulaires pour dérober des renseignements à l'utilisateur.
Le 27 mars 2018 à 09h16
Commentaires (2)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 27/03/2018 à 11h08
Ahah faurait troller, tu colle des tag dans le metro avec un lien vers un site “normal” genre la RATP et ça te redirige vers des sites terroristes, NSFW, d’extreme droite, … " />
Le 27/03/2018 à 16h45
Hum, ça semble être un bête problème de parseur… Étonnant qu’ils n’aient pas corrigé plus tôt, 3 mois c’est long pour un truc aussi simple.