Une vulnérabilité détectée dans le lecteur de code QR intégré à l’application Appareil photo sur iOS peut rediriger involontairement les utilisateurs vers un site Web malveillant.
Avec iOS 11, il suffit d’utiliser simplement l’app Appareil photo de l’iPhone pour pointer un code QR afin d’ouvrir le contenu associé. C’est une fonction très utile, mais elle peut aussi cacher des risques. Dans le cas où le code QR comprend une URL, iOS va afficher l’adresse du lien et demande confirmation à l’utilisateur de l’ouvrir sur Safari.
Infosec a découvert qu’il est facile de tromper l’utilisateur en lui montrant une URL différente du lien qui est alors ouvert sur Safari après confirmation. Par exemple, le code QR peut afficher l’URL facebook.com, mais l’envoyer ensuite à un site malveillant.
Pour le prouver, Infosec a créé le code QR que vous voyez ci-dessous. L’application Appareil photo vous demandera si vous souhaitez ouvrir l’URL facebook.com, mais elle vous mènera sur le site https://infosec.rm-it.de/.
Tout ce dont vous avez besoin pour atteindre ce même objectif est d’incorporer une URL dans le format suivant : https: // xxx \ @ facebook.com: [email protected]/
iOS affiche la première URL en lisant le code QR, mais vous amène au deuxième lien. Le bug a été rapporté à Apple le 23 décembre, mais il n’a pas encore été corrigé. Nous vous conseillons donc d’être prudent lors de l’utilisation de codes QR provenant de sources non fiables.
Toujours pas là …. ça commence a faire long ..
Oui pareil après la Keynote vers 18h20-19h et ben non….. sûrement demain ou jeudi , en tous cas je l’espère
A quand la goldens master iOS 11 et tous ?
On pensait à ce soir, mais finalement, cela ne semble pas venir. 😉