カテゴリ Apple関連
iOS 11標準カメラのQRコード読み取り機能に不具合が発覚。URLを偽装して表示とは違うサイトに飛ばされる可能性あり
2018/03/27 10:46
iOS 11から標準のカメラアプリでQRコードを読み取り、記載されているURLからブラウザに連携してウェブサイトを見ることが出来るようになりましたが、この機能に不具合が発覚しています。
簡単に言うとURLを偽装できるというもので、カメラで読み取った際に表示される「xxx.comを開く」といった内容とは違うサイトに飛ばすことが出来るようです。
infosecによると、例えば「https://xxx\@facebook.com:443@infosec.rm-it.de/」といったアドレスをQRコードに変換して読み込ませると、カメラでの読み込み時には「”facebook.com”をSafariで開く」と出ますが実際にはinfosec.rm-it.deに飛ばすことができるとのことで、実際にデモ映像も投稿しています。
URLの前半部分にある「facebook.com」が偽装箇所で、実際の飛び先は後半の「infosec.rm-it.de」といった形にできるようです。
ちなみに最近は他のサードパーティ製のブラウザでもQRコード読み取り機能が付いているので試して見ましたが「Chrome」と「Yahoo!JAPAN」では全URLが表示、「Edge」ではBing検索に記述されているURL全文が投げられる、「Firefox」に於いては正しいURLとして認識しない(ページが開かない)という状態だったため、怪しいURLに気づくことや直接サイトに飛ばないといった対策になりそうです。