iOS: iPhone-QR-Reader ist unsicher

Die in das mobile Apple-Betriebssysteme iOS integrierte Verarbeitung von QR-Codes weist eine signifikante Sicherheitslücke auf. Diese erlaubt es Angreifern, die wahre, hinter einem entsprechenden Code stehende URL-Adresse zu verschleiern.

Silvio Werner, Veröffentlicht am 26.03.2018

QR-Codes lassen sich vergleichsweise universell einsetzen und erlauben es etwa, Kontaktdaten auch in digital lesbarer Form auf eine Visitenkarte zu bringen. Auch im Marketing werden diese eingesetzt - zum Beispiel, um auf eine Webseite zu verweisen.

Nun berichtet infosec.rm-it.de, dass der in iOS 11 integrierte QR-Code-Reader eine Sicherheitslücke aufweist, die Angreifern QR-Code-basierte Attacken wesentlich erleichtert.

Konkret lässt sich die in der Software integrierte und an sich sehr sinnvolle Funktion, die URL, auf die ein QR-Code weiterleiten will, anzuzeigen, leicht manipulieren. Diese Anzeige der URL soll eigentlich verhindern, dass Nutzer ohne Vorwarnung auf eine schadhafte URL zugreifen.

Allerdings: Diese Funktion lässt sich sehr einfach aushebeln. Wird etwa die Adresse notebookcheck.com/ via QR-Code verschlüsselt, so öffnet der Safari-Browser nur den letzten Teil der URL, iOS zeigt aber den ersten Teil der URL an. Das Parser-Problem ist Apple bereits seit Dezember bekannt.

Quelle(n)

infosec.rm-it.de/2018/03/24/ios-camera-qr-code-url-parser-bug/

Verwandte Artikel

Akku entlädt sich innerhalb von 10 Minuten.

iOS 11.3.1: Nach Mikrofon nun auch Akkuprobleme und Überhitzung 07.05.2018

macOS- und iOS-Apps: Kompatibilität wohl noch nicht dieses Jahr (Symbolbild)

macOS- und iOS-Apps: Kompatibilität wohl noch nicht dieses Jahr 01.05.2018

Sicherheit kostet: Die weltweiten Ausgaben für IoT-Security steigen 2018 auf 1,5 Mrd. Dollar.

Security: Weltweite Ausgaben für IoT-Sicherheit steigen auf 1,5 Mrd. US-Dollar 21.03.2018

Sicherheits-Studie: Nachholbedarf bei der IT-Sicherheit in der deutschen Industrie.

Security-Studie: Deutschlands Wirtschaft sieht Nachholbedarf bei IT-Sicherheit 07.03.2018

1Password: Neue Funktion erhöht Sicherheit massiv 24.02.2018

uTorrent: Sicherheitslücke macht Nutzung gefährlich 21.02.2018

Telegram: Sicherheitslücke wurde seit einem Jahr ausgenutzt (Symbolfoto)

Telegram: Sicherheitslücke wurde seit einem Jahr ausgenutzt 13.02.2018

Microsoft lässt gravierende Sicherheitslücke in Skype (vorerst) ungepatcht 13.02.2018

Security: Firefox hat kritische Sicherheitslücke 30.01.2018

Hat Intel eine kleine Gruppe von Kunden vor der US-Regierung von den Sicherheitsproblemen informiert?

Intel soll Firmen in China vor US-Behörden über Sicherheitslücken in Chips informiert haben 29.01.2018

Google Chrome ist nun bei Version 64.0.3282.119 angekommen

Google Chrome: Update auf Version 64.0.32 behebt 53 Sicherheitslücken 25.01.2018

Electron: Framework hat Sicherheitslücke, zahlreiche Apps betroffen 24.01.2018

Spectre 2: Intel-Mainboads wie das Asus ROG STRIX Z370-F GAMING sind betroffen

CPU-Sicherheitslücke Spectre 2: Übersicht verfügbarer Bios-Updates 19.01.2018

CPU-Sicherheitslücken: Neustart-Probleme betreffen auch neue CPUs (Symbolfoto)

CPU-Sicherheitslücken: Neustart-Probleme betreffen auch neue CPUs 18.01.2018

Zu geizig: Sicherheitsforscher kritisieren Apple und verkauft Exploit

Sicherheitsforscher kritisiert Apple und verkauft Exploit 17.01.2018

Intel: Sicherheitspatches können Reboot-Probleme bei älteren Chips verursachen 12.01.2018

Bis zu 41 Prozent langsamer zeigen sich iPhone 6-Modelle mit iOS 11.2.2.

Apple iPhone: Bis zu 41% langsamer durch iOS 11.2.2 Sicherheitsupdate? 12.01.2018

CPU-Sicherheitslücken: Linus Torvalds kritisiert Intel scharf 07.01.2018

Loading Comments

Diesen Artikel kommentieren / Antworten

Orange Pi bekommt LTE und bessere A...

Google: Keine Apps mehr für Smartph...

Silvio Werner - Senior Tech Writer - 12318 Artikel auf Notebookcheck veröffentlicht seit 2017

Ich bin seit über zehn Jahren journalistisch aktiv, den Großteil davon im Bereich Technologie. Dabei war ich unter anderem für Tom's Hardware und ComputerBase tätig und bin es seit 2017 auch für Notebookcheck. Mein aktueller Fokus liegt insbesondere auf Mini-PCs und auf Einplatinenrechnern wie dem Raspberry Pi – also kompakten Systemen mit vielen Möglichkeiten. Dazu kommt ein Faible für alle Arten von Wearables und insbesondere für Smartwatches. Hauptberuflich bin ich als Laboringenieur unterwegs, weshalb mir weder naturwissenschaftliche Zusammenhänge noch die Interpretation komplexer Messungen fern liegen.

Kontakt: silvio39191, LinkedIn

Teilen Sie diesen Artikel, um uns zu unterstützen. Jeder Link hilft!