GoogleカメラアプリにQRコードを間違ったURLに自動修正する不具合が存在
QRコードは我々の生活の至る所に存在するようになり、スマートフォンのカメラによって簡単にURLに変換してWebサイトにアクセスすることができます。
Googleはより利便性を高めるため、間違って変換されたURLを自動的に修正する機能をGoogleカメラアプリに実装しましたが、不具合により逆に正しいURLを間違ったものに変換することがあるそうです。
これを利用したフィッシングサイトの登場が懸念され、早期の対応が必要と考えられています。
特定の文字列が含まれる場合、勝手にドットが挿入される
GoogleカメラアプリのQRコード修正に関する不具合は大きく分けて3つ存在するとされています。
1つ目は、QRコードから変換されたURLに特定の文字列が含まれる場合、勝手にドットが挿入されるというものです。
たとえば、変換されたURLが「https://heisenet.at」の場合、以下の画像のように「net」の前にドットが挿入され「https://heise.net.at」にされてしまいます。
ドイツの出版社であるHeiseによると、国コードトップレベルドメイン(ccTLD)が.au、.br、.hu、.il、.kr、.nz、.ru、.tr、.uk、.zaである場合にこの問題が起きることを確認したそうです。
.jpについては不明です。
また、直前にドットが挿入される文字列としては、co、com、ac、net、org、gov、mil、muni、eduといったセカンドレベルドメインによく使われるものが含まれます。
一方、or、gv、k12については問題ないそうです。
一部の文字列が勝手に削除される
2つ目の問題は、一部の文字列が勝手に削除されるというものです。
この問題はトップレベルドメインが2文字より長い場合に発生し、たとえばカタルーニャ語の話者を対象としている「.cat」が勝手にカナダの「.ca」にされてしまいます。
同様に、.int、.pro、.travel、.bet、.beer、.amexといったトップレベルドメインも最初の2文字にカットされてしまいます。
ただし、.appleだけは.appにされるそうです。
「www」の部分に勝手にドットを追加する
3つ目の問題は、「www」の部分にGoogleカメラアプリが勝手にドットを追加するというものです。
たとえば、Royal Bank Of CanadaのURLは「https://www6.rbc.com」ですが、Googleカメラアプリは「https://www.6.rbc.com」のように「www」と「6」の間にドットを入れてしまいます。
また、ニューヨーク市のURL「https://www1.nyc.gov」も「https://www.1.nyc.gov」にされてしまうそうです。
1番目の問題とこの3番目の問題は同時に発生し、たとえば「https://www2co.at」は以下の画像のように「https://www.2.co.at」に変換されます。
悪意のあるサイトに誘導される可能性も?
これらの問題は笑って済ませられる問題ではなく、悪意を持ったユーザーが変換規則を利用して別のサイトに誘導を試みる可能性も考えられます。
たとえば銀行のサイトにアクセスしているつもりが、Googleカメラアプリによって変換されたURLを持つフィッシングサイトであったという可能性もあるでしょう。
Heiseによるとこの問題はPixel 3 XL、3a、4、4a、5、6 Proで発生することが確認されており、Android PoliceはPixel 6でも発生することを確認しました。
Android Policeは現在、Googleにコメントを求めています。
Source: Heise via Android Police
(ハウザー)