Zavřít reklamu

I když je iOS 11 v mnoha ohledech schopný systém, jeho stabilita a bezpečnost už tak ukázkové nejsou. Zatímco Apple stále pracuje na opravě poslední chyby, díky které je Siri schopná přečíst skryté zprávy z uzamčené obrazovky, byla přes víkend odhalena další bezpečností trhlina týkající se nativní aplikace Fotoaparát a její schopnosti skenovat škodlivé QR kódy.

Server Infosec přišel se zjištěním, že aplikace Fotoaparát, respektive její funkce pro skenování QR kódů, není za určitých okolností  schopna rozeznat skutečný web, na který bude uživatel přesměrován. Útočník tak může uživatele poměrně snadno dostat na určitý web, zatímco aplikace informuje o přesměrování na zcela odlišné, bezpečné stránky.

Zatímco se tedy uživatelům zobrazí, že budou přesměrování například na facebook.com, ve skutečnosti se po kliknutí na výzvu načte web https://jablickar.cz/. Ukrytí skutečné adresy do QR kódu a ošálení čtečky v iOS 11 není pro útočníka složité. Stačí jen při vytváření QR kódu přidat k adrese několik znaků. Původní zmíněná url po přidání potřebných znaků vypadá následovně: https://xxx\@facebook.com:443@jablickar.cz/.

Ačkoli se může zdát, že chyba byla objevena teprve nedávno a Apple ji tak co nevidět opraví, ve skutečnosti tomu tak není. Infosec totiž ve svém příspěvku uvedl, že na ni upozornili bezpečností tým Applu už 23. prosince 2017 a bohužel do dnešního dne, tedy po více než třech měsících, nebyla opravena. Doufejme tedy, že alespoň v reakci na medializaci chyby ji Apple opraví v chystané aktualizaci systému.

.