【注意】iOS11のQRコード読み取りにバグ、悪意あるサイトに飛ばされる危険性
iOS11でQRコードを読み取ると、通知と異なるURLにジャンプするバグがある、とセキュリティ情報サイトが指摘しています。悪用されると、Facebookなどのサイトを装った、悪意のあるWebサイトにアクセスしてしまう危険性があります。
QRコード読み取り結果と違うURLに飛ばされる!?
iOS11では、iPhoneやiPadのカメラをQRコードにかざすと、自動でURLなどを読み取る機能が追加されました。
セキュリティ情報サイトinfosecが、iOS11のバグのために、この機能が悪用されて悪意あるWebサイトへの誘導に使われる可能性がある、と指摘しています。
以下のGIFアニメは、QRコードにiPhoneのカメラをかざすと、「facebook.comを開く」とメッセージが表示されますが、実際にはinfosecのサイトにジャンプさせられる、という例です。
筆者が、本稿執筆時点で最新版のiOS11.2.6で試してみたところ、同様の現象が確認できました。
URLの一部を誤認識するバグ
このバグは、iOS11がQRコードからURLを認識する方式に不具合があるためだ、とinfosecは指摘しています。
具体的には、GIFアニメで読み込まれているQRコードの内容は
「 https://xxx\@facebook.com:443@infosec.rm-it.de/ 」
という形式になっています。
この「xxx\」がユーザーネーム、「443」がパスワードとして誤認識されることで、通知には「facebook.comに接続」と表示されているのに「infosec.rm-it.de/」に接続してしまう、という現象が発生します。
バグの修正までQRコード読み取りは控えるのが安全
infosecは、このバグについてAppleに2017年12月23日に報告しているものの、3月24日の時点ではバグは修復されていないそうです。
QRコードの読み取りはiOS11で実現した、様々な活用法のある便利な機能だけに、早期の修正が待たれます。
今後、このバグが悪用される可能性があるため、バグが修正されるまで、信頼できるもの以外、QRコードの読み取りはできるだけ控えるのが安全でしょう。
Siriがメッセージを読み上げるバグは近日修正予定
先日報じられた、Siriがロックされた端末の非表示メッセージを読み上げるバグについて、Appleは近日中のソフトウェアアップデートで修正すると約束しています。