2018/03/28

QR Codes podem enganar câmara no iOS


Com o iOS 11 chegou a excelente novidade de se poder abrir um QR Code directamente a partir da app da câmara do sistema, mas um pequeno bug permite que um QR Code malicioso possa abrir um site diferente daquele que é indicado aos utilizadores.

Quem utiliza QR Codes com frequência certamente manterá uma app sempre à mão para esse efeito; mas para a maioria das pessoas, a utilização de um QR Code obrigaria a passar alguns minutos a tentar descobrir qual era a app que se tinha instalado para esse efeito, procurar e instalar uma nova, e finalmente lidar com o QR Code propriamente dito. Com o iOS 11 isso deixou de ser necessário, bastando apontar a app da câmara do sistema para um QR Code, sem necessidade de qualquer app adicional.

Quando o QR Code contém um link, o iOS faz surgir uma notificação com o nome do site a visitar, para que o utilizar possa abrir o site tocando na notificação.. o problema é que é possível fazer com que o QR Code apresente o nome de um site que nada tem a ver com o que vai ser realmente visitado.



Este QR Code faz surgir a notificação de que se quer visitar o site facebook.com mas se o utilizador aceitar, irá abrir o site https://infosec.rm-it.de/ - e isto sem necessidade de qualquer "batotice" do lado dos servidores; trata-se apenas de um bug na forma como o iOS está a interpretar e apresentar os URLs.

Na  verdade o URL no QR Code é o:

  • https://xxx\@facebook.com:443@infosec.rm-it.de/

Mas o iOS considera que o site a visitar é o "facebook.com", enquanto que o Safari considera que tudo isso é o username e o 443 é a password que deverá usar ao visitar o site "infosec.rm-it.de".

Será bastante fácil para a Apple resolver isto, de forma a que o endereço apresentado coincida com aquele que é visitado no Safari; mas uma vez que se tratam de correcções que não podem ser disponibilizadas separadamente via "apps", teremos que aguardar pela próxima actualização do iOS... (Já era mais que tempo da Apple reorganizar as suas apps, para poder fazer as actualizações de forma independente!)

4 comentários:

[pub]