Un bug iOS utilise des codes QR pour vous envoyer vers un site malveillant

 

Une vulnérabilité détectée dans le lecteur de code QR intégré à l’application Appareil photo sur iOS peut rediriger involontairement les utilisateurs vers un site Web malveillant.

Avec iOS 11, il suffit d’utiliser simplement l’app Appareil photo de l’iPhone pour pointer un code QR afin d’ouvrir le contenu associé. C’est une fonction très utile, mais elle peut aussi cacher des risques. Dans le cas où le code QR comprend une URL, iOS va afficher l’adresse du lien et demande confirmation à l’utilisateur de l’ouvrir sur Safari.

Infosec a découvert qu’il est facile de tromper l’utilisateur en lui montrant une URL différente du lien qui est alors ouvert sur Safari après confirmation. Par exemple, le code QR peut afficher l’URL facebook.com, mais l’envoyer ensuite à un site malveillant.

Pour le prouver, Infosec a créé le code QR que vous voyez ci-dessous. L’application Appareil photo vous demandera si vous souhaitez ouvrir l’URL facebook.com, mais elle vous mènera sur le site  https://infosec.rm-it.de/.

Tout ce dont vous avez besoin pour atteindre ce même objectif est d’incorporer une URL dans le format suivant : https: // xxx \ @ facebook.com: 443@infosec.rm-it.de/

iOS affiche la première URL en lisant le code QR, mais vous amène au deuxième lien. Le bug a été rapporté à Apple le 23 décembre, mais il n’a pas encore été corrigé. Nous vous conseillons donc d’être prudent lors de l’utilisation de codes QR provenant de sources non fiables.

 
  • 21432 Posts
  • 8382 Comments
Fondateur & Rédacteur

Commentaire(4)

    justzikey
    27 mars 2018 - 19 07 33 03333

    A quand la goldens master iOS 11 et tous ?

      Rémi
      27 mars 2018 - 20 08 26 03263

      On pensait à ce soir, mais finalement, cela ne semble pas venir. 😉

    justzikey
    27 mars 2018 - 22 10 41 03413

    Oui pareil après la Keynote vers 18h20-19h et ben non….. sûrement demain ou jeudi , en tous cas je l’espère

    justzikey
    28 mars 2018 - 19 07 11 03113

    Toujours pas là …. ça commence a faire long ..

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.