iOS 11相机二维码识别功能存在漏洞可被用来钓鱼
为方便用户扫描二维码苹果已经自iOS 11版开始在相机应用里内置识别功能无需用户使用其他应用再去扫描。
不过有研究人员发现其内置的解码器存在某些问题,该问题可导致相机显示的地址与浏览器打开的地址不同。
演示中研究人员构造特定的网址再生成静态的二维码,然后iOS 相机进行扫描时识别网站为Facebook.com。
但当用户点击提示使用Safari浏览器打开时就会发现地址变成其他网址,具体请看研究人员制作的演示视频:
目前该研究人员已经公布制作这类欺骗性网址的方法,原因则是漏洞已经上报给苹果但苹果至今未修复漏洞。
按行业惯例来看超过 90 天仍然未修复漏洞那么安全人员就可以公布漏洞细节,如今这个漏洞已经超过90天。
地址的构造方法:
https://xxx\@[需要在扫描后显示的地址]:443@[实际跳转的目标地址]/
构造好这个地址后使用二维码生成器生成二维码即可,使用iOS相机扫描时就会出现显示和跳转的地址不同。