iOS 11相机二维码识别功能存在漏洞可被用来钓鱼

为方便用户扫描二维码苹果已经自iOS 11版开始在相机应用里内置识别功能无需用户使用其他应用再去扫描。

不过有研究人员发现其内置的解码器存在某些问题,该问题可导致相机显示的地址与浏览器打开的地址不同。

演示中研究人员构造特定的网址再生成静态的二维码,然后iOS 相机进行扫描时识别网站为Facebook.com。

但当用户点击提示使用Safari浏览器打开时就会发现地址变成其他网址,具体请看研究人员制作的演示视频

目前该研究人员已经公布制作这类欺骗性网址的方法,原因则是漏洞已经上报给苹果但苹果至今未修复漏洞。

按行业惯例来看超过 90 天仍然未修复漏洞那么安全人员就可以公布漏洞细节,如今这个漏洞已经超过90天。

地址的构造方法:

https://xxx\@[需要在扫描后显示的地址]:443@[实际跳转的目标地址]/

构造好这个地址后使用二维码生成器生成二维码即可,使用iOS相机扫描时就会出现显示和跳转的地址不同。

本文来源 Roman Mueller,由 山外的鸭子哥 整理编辑,其版权均为 Roman Mueller 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
扫码关注蓝点网微信公众号

评论:

2 条评论,访客:2 条,站长:0 条
  1. shuangjiang2008
    shuangjiang2008发布于: 
    Google Chrome 65.0.3325.181 Google Chrome 65.0.3325.181 Windows 7 64位版 Windows 7 64位版

    11.3跳票到现在,apple越来越恶心了!

发表评论