【注意】iOS11のQRコード読み取りにバグ、悪意あるサイトに飛ばされる危険性

    QRコード 9to5Mac

    QRコード 9to5Mac
     
    iOS11でQRコードを読み取ると、通知と異なるURLにジャンプするバグがある、とセキュリティ情報サイトが指摘しています。悪用されると、Facebookなどのサイトを装った、悪意のあるWebサイトにアクセスしてしまう危険性があります。

    QRコード読み取り結果と違うURLに飛ばされる!?

    iOS11では、iPhoneやiPadのカメラをQRコードにかざすと、自動でURLなどを読み取る機能が追加されました。
     
    セキュリティ情報サイトinfosecが、iOS11のバグのために、この機能が悪用されて悪意あるWebサイトへの誘導に使われる可能性がある、と指摘しています。
     
    以下のGIFアニメは、QRコードにiPhoneのカメラをかざすと、「facebook.comを開く」とメッセージが表示されますが、実際にはinfosecのサイトにジャンプさせられる、という例です。
     
    iOS11 QRコード バグ
     
    筆者が、本稿執筆時点で最新版のiOS11.2.6で試してみたところ、同様の現象が確認できました。

    URLの一部を誤認識するバグ

    このバグは、iOS11がQRコードからURLを認識する方式に不具合があるためだ、とinfosecは指摘しています。
     
    具体的には、GIFアニメで読み込まれているQRコードの内容は
    「 https://xxx\@facebook.com:443@infosec.rm-it.de/ 」
    という形式になっています。
     
    この「xxx\」がユーザーネーム、「443」がパスワードとして誤認識されることで、通知には「facebook.comに接続」と表示されているのに「infosec.rm-it.de/」に接続してしまう、という現象が発生します。

    バグの修正までQRコード読み取りは控えるのが安全

    infosecは、このバグについてAppleに2017年12月23日に報告しているものの、3月24日の時点ではバグは修復されていないそうです。
     
    QRコードの読み取りはiOS11で実現した、様々な活用法のある便利な機能だけに、早期の修正が待たれます。
     
    今後、このバグが悪用される可能性があるため、バグが修正されるまで、信頼できるもの以外、QRコードの読み取りはできるだけ控えるのが安全でしょう。

    Siriがメッセージを読み上げるバグは近日修正予定

    先日報じられた、Siriがロックされた端末の非表示メッセージを読み上げるバグについて、Appleは近日中のソフトウェアアップデートで修正すると約束しています。

     
     
    Source:infosec via 9to5Mac
    Photo:9to5Mac
    (hato)

    この記事がお役に立ったらシェアお願いします
    目次