Esta falha de segurança afeta a última versão do sistema operativo Apple iOS 11 no IPhone, iPad e iPod touch devices.
O problema reside no novo recurso que foi implementado no iOS 11 de forma a permitir que os utilizadores leiam automaticamente códigos QR ao usar a aplicação da camera sem precisar de nenhuma aplicação de terceiros para ler códigos QR.
Para ler um código QR, os utilizadores precisam abrir a aplicação da camera e apontar o iPhone ou o iPad para um código QR. Se o código for uma URL, o sistema entrega aos utilizadores uma notificação com o endereço do link . Ao tocar na notificação, os utilizadores podem visitar a URL no navegador web, Safari, mas, de acordo com o investigadores Roman Mueller, que descobriu a vulnerabilidade, a URL visitada pode ser alterado para fins maliciosos.
O investigadores descobriu que o parser da URL do leitor de código QR integrado na app da camera do iOS não deteta corretamente o nome do host na URL, tornando assim possível alterar a URL exibida na notificação e direcionar os utilizadores para websites mal-intencionados.
“The URL parser of the camera app has a problem here detecting the hostname in this URL in the same way as Safari does.” wrote the expert in a blog post.
“It probably detects “xxx\” as the username to be sent to “facebook.com:443”.
While Safari might take the complete string “xxx\@facebook.com” as a username and “443” as the password to be sent to infosec.rm-it.de.”
“This leads to a different hostname being displayed in the notification compared to what actually is opened in Safari.”
Mueller criou um QR code contendo a seguite URL:
https://xxx\@facebook.com:[email protected]/
Quando o leitor interpreta a URL ele é notificado da seguinte maneira:
Open “facebook.com” in Safari
Ao clicar na notificação, o Safari abre e ele é direcionado para a seguinte URL, https://infosec.rm-it.de/, ao inves do Facebook.
Esta falha foi testada pelo investigador no iPhone X que corria o iOS 11.2.6.
O investigador já havia reportado esta falha à Apple em dezembro do ano passado, mas a Apple ainda não corrigiu o bug até a data.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.