Ačkoliv je to s ohledem na množství opravných aktualizací skoro až neuvěřitelné, systém iOS 11 obsahuje další bezpečnostní chybu, která by mohla jeho uživatele nepříjemně ohrozit. Poté, co se minulý týden objevila chyba umožňující číst Siri zprávy se skrytým náhledem na uzamčeném displeji, totiž objevila společnost Infosec další jablečný nedodělek, který se tentokrát týká čtečky QR kódů v aplikaci Fotoaparát.
S příchodem iOS 11 představil Apple vlastní čtečku QR kódů implementovanou v aplikaci Fotoaparát, díky čemuž již nemuseli uživatelé stahovat speciální aplikace třetích stran a vystačili si pouze s těmi od Applu. Společnost Infosec však zjistila, že QR čtečka obsahuje chybu, která umožňuje „přesměrování“ uživatelů, kteří naskenují určitý QR kód, na zcela jinou adresu. V aplikaci se vám sice zobrazí například možnost “Otevřít “facebook.com“ v Safari”, po otevření této možnosti však můžete být přesměrováni na zcela jinou adresu. To ve zkratce znamená, že se uživatelé mohou nechtěně dostat na škodlivé webové stránky, přestože si po naskenování QR kódu mysleli, že jsou jejich budoucí kroky bezpečné.
Apple iOS camera app doesn't properly parse URLs in QR codes. It shows a different host in the notification than it really opens. As of now still unfixed: https://t.co/EMQk7uBQ9i pic.twitter.com/KE6EwYhj7s
— Roman (@faker_) March 24, 2018
Podobné QR kódy mohou být využity například k různým phisingovým útokům pomocí emailů, ve kterých se útočníci tváří jakožto zástupci určité společnosti, která po naskenování QR kódu uživatelům nabídne určité bonusy. Místo toho je však navede přesně tam, kam útočníci potřebují a při neobezřetnosti jim ukradnou jejich osobní údaje. Poměrně zajímavé však je, že k této “lsti” stačí pouze jednoduché vložení URL adresy například ve formátu “https://xxx@facebook.com:443@infosec.rm-it.de/.” do QR kódu. V tomto konkrétním případě totiž vidí QR čtečka v iOS. 11 kód jakožto “facebook.com“ a ten uživateli i ukáže. Po jeho rozkliknutí se však dostanete skutečně na stránky infosec.rm-ti.de. Ostatně, vyzkoušejte si to i vy sami.
Jak můžete sami vidět, QR kód se skutečně na první pohled tváří jako odkaz na Facebook, což však může být ve výsledku opravdu velký problém a potenciální nebezpečí do uživatele. O to více zarážející je pak tvrzení Infosecu, že tuto chybu nahlásil Applu již 23. prosince 2017. A jak můžete vidět, ani v tuto chvíli, tedy 26. března 2018, není chyba opravena. Snad tedy budeme moci alespoň po vypuštění chystaného iOS 11.3 mluvit jinak.
Zdroj: macrumors
Zítra by měl být spuštěna aktualizace iOS 11.3. tak jsem na to zvědav jak bude šlapat.
Vzhledem k tomu, ze ještě nevyšla GM beta 11.3 tak si nemyslím ze finální verze vyjde již zítra. Ale možné je všechno.
Je to divné že nevyšla GM beta.
Vyčetl jsem to ze zahraničních webů :
The new iOS 11.3 version of your iPhone, iPad and iPod Touch software should arrive on Tuesday, March 27.
That’s to coincide with the Apple ‚Let’s Take a Field Trip‘ event, where we’re expecting to see a new iPad model.
We’re expecting iOS 11.3 to become available at around 6pm UK time, so make sure to check out our guide on how to update iPhone.
Pokud Apple nevydá zítra aktualizaci 11.3. tak nedodrží termín Březen 2018 , Apple většinou vydává aktualizace v úterý.