Nebezpečná chyba ve funkci čtečky QR kódů zabudovaná do aplikace Fotoaparát v iOS by mohla způsobit velké problémy. Chyba se totiž projevuje tak, že nabízí otevření požadované stránky, ale ve skutečnosti bude uživatel přesměrován na podvodnou stránku. Ta by mohla patřit hackerovi, vypadat neškodně a působit jako stránka, kterou opravdu uživatel chce navštívit.
iOS 11 má v sobě zabudovanou velmi šikovnou funkci, díky které můžete skenovat QR kódy bez nutnosti instalace nové aplikace. Jednoduše stačí otevřít zabudovanou aplikaci Fotoaparát a namířit fotoaparát na skenovaný QR kód. Telefon poté provede akci, kterou v sobě má QR kód zapsanou. Většinou se QR kódy používají na přenos kontaktních informací nebo na rychlé otevření webových stránek. A právě při skenování webových adres z QR kódů by mohlo dojít k problémům. Jakmile totiž aplikací Fotoaparát naskenujete QR kód se zakódovanou webovou adresou, vyskočí notifikace ze Safari, která vám umožní otevřít web na této adrese. Jenomže kvůli této chybě se nemusí otevřít web na adrese, která se vám ukázala v notifikaci.
Firma Infosec přišla s tím, že je velmi jednoduché ošálit tuto čtečku QR kódů tím, že se načte jedna adresa, ale v prohlížeči se otevře zcela jiná. Níže v tomto článku naleznete QR kód, na kterém si tuto chybu můžete sami vyzkoušet. Po naskenování tohoto kódu vaším iPhonem budete dotázáni, zda chcete přesměrovat na stránku Facebook.com. Pokud na tuto notifikaci kliknete, budete ale ve skutečnosti přesměrováni na stránku MacBlog.sk.
Pokud si naskenujete QR kód níže na této stránce s iOS (11.2.1) aplikací Fotoaparát, ukáže se notifikace:
Otevřít ,,facebook.com” v aplikaci Safari
Pokud však na notifikaci kliknete, otevře se vám místo toho stránka https://www.macblog.sk
Jediné, co k vytvoření takového podvodu potřebujete je zakódovat následující URL do QR kódu
https://xxx\@facebook.com:443@macblog.sk/
iOS poté v notifikaci zobrazí první URL adresu, ale otevře v Safari adresu druhou. Zde je QR kód, na kterém si to můžete vyzkoušet:
Stránka Infosec uvádí, že chyba byla Applu nahlášena už 23. prosince, ale dosud nebyla opravena. Apple byl požádán o komentář, ale zatím se nevyjádřil. Pokud se vyjádří, aktualizujeme tento článek.
Jak se ubránit?
Pokud byste naskenovali takovýto QR kód, mohla by se například otevřít stránka, která vypadá jako Facebook a v horním řádku se opravdu ukazuje nápis “facebook.com”. Ve skutečnosti by ale šlo o stránku na hackerovo serveru. Jakmile byste vyplnili přihlašovací údaje, na hackerův server by se uložily a ten by si je poté mohl kdykoliv stáhnout a zneužit. Jedinou ochranou, kterou mohu doporučit je skenovat QR kódy pouze od ověřených osob a kontrolovat URL adresy po rozkliknutí adresového řádku. V dnešní době už je také většina stránek zabezpečena certifikáty. Proto se vždycky dívejte, zda-li se nalevo od adresy ukazuje ikona zámečku.
Většina z nás zřejmě tento “útok” nezažije, ale je dobré vědět jak takovým věcem předejít.
komentár
… co tam po chybach QR kodov, ved hlavne, ze mame nove emoji :-((((((((((((