ios-11-scan-qr-code.jpgDepuis iOS 11, un utilisateur peut utiliser l’app Appareil photo pour scanner un code QR et l’app se comportera de différentes façons en fonction du type de code QR et l’une des utilisations les plus courantes permet de diriger l’utilisateur vers un site web spécifique.

Le site Infosec a découvert qu’il était possible de pointer l’utilisateur vers un site qui n’est pas celui affiché à l’écran par iOS lors du scan du code QR, et que cela pourrait être exploité par des personnes mal intentionnées pour rediriger des utilisateurs vers un site malicieux.

Infosec fait la démonstration avec le code QR suivant qu’un utilisateur peut scanner avec la caméra de l’iPhone, iOS va ensuite afficher une bannière comme quoi il s’agit du site Facebook.com, mais quand l’utilisateur appuie dessus, il est redirigé vers le site d’Infosec.

Vous pouvez faire un test (sans danger) avec votre appareil sous iOS 11 :

qr-code-faille.jpg

Pour y parvenir, Infosec explique avoir utilisé une URL assez simple avec le format suivant "https://xxx@facebook.com:443@infosec.rm-it.de/", iOS va afficher la première URL mais redirige en fait l’utilisateur vers la seconde.

Ce bug a été rapporté à Apple le 23 décembre dernier, toutefois la firme à la pomme n’a pas encore corrigé celui-ci, car il est toujours présent dans la dernière version d’iOS 11.2.6.

En parallèle, si vous ne le saviez pas, l’app Appareil photo sous iOS 11 prend en charge plus de 10 types de codes QR, cela va de l’accessoire HomeKit aux liens profonds dans les apps.

notre vidéo :

Scannez-vous souvent des codes QR ?

Source

Vous aimez ? Partagez !

Ne manquez pas :

Ne manquez pas :