pemoyr
Опытный user
- Регистрация
- 17 Окт 2019
- Сообщения
- 121
- Реакции
- 1
Во встроенном приложении «Камера» на iOS 11 существует уязвимость, позволяющая при считывании QR-кода направлять пользователей на скомпрометированный сайт, выдавая его за безопасный.
Чтобы воспользоваться уязвимостью, например убедить пользователя, что он перейдёт на фейсбук, нужно прописать код в таком формате: https://[email protected]:[email protected]/. В итоге пользователь перейдёт на mail.ru. В результате iOS сможет прочесть только первый адрес, в то время как второй останется вне видимости системы. Андроид при считывании такого кода (можно без иксов) тоже перейдёт на сайт mail.ru, однако перед переходом пользователю будет виден код как он есть.
QR- код для примера выше:
Так будет выглядеть баннер на iOS 11:
Впрочем, при должной внимательности, пользователь может заранее увидеть подмену. Если вместо того, чтобы нажимать на появившийся при сканировании баннер сразу, развернуть его, можно увидеть, что при формировании QR-кода имел место подлог URL-адресов.
Таким образом можно маскировать фишинговые или другие вредоносные сайты под видом обычных.
При сканировании обязательно проверяйте отсканированную ссылку. Не рекомендую сканировать QR-коды, которым не доверяете.
Чтобы воспользоваться уязвимостью, например убедить пользователя, что он перейдёт на фейсбук, нужно прописать код в таком формате: https://[email protected]:[email protected]/. В итоге пользователь перейдёт на mail.ru. В результате iOS сможет прочесть только первый адрес, в то время как второй останется вне видимости системы. Андроид при считывании такого кода (можно без иксов) тоже перейдёт на сайт mail.ru, однако перед переходом пользователю будет виден код как он есть.
QR- код для примера выше:
Так будет выглядеть баннер на iOS 11:
Впрочем, при должной внимательности, пользователь может заранее увидеть подмену. Если вместо того, чтобы нажимать на появившийся при сканировании баннер сразу, развернуть его, можно увидеть, что при формировании QR-кода имел место подлог URL-адресов.
Таким образом можно маскировать фишинговые или другие вредоносные сайты под видом обычных.
При сканировании обязательно проверяйте отсканированную ссылку. Не рекомендую сканировать QR-коды, которым не доверяете.
