iOS: iPhone-QR-Reader ist unsicher
QR-Codes lassen sich vergleichsweise universell einsetzen und erlauben es etwa, Kontaktdaten auch in digital lesbarer Form auf eine Visitenkarte zu bringen. Auch im Marketing werden diese eingesetzt - zum Beispiel, um auf eine Webseite zu verweisen.
Nun berichtet infosec.rm-it.de, dass der in iOS 11 integrierte QR-Code-Reader eine Sicherheitslücke aufweist, die Angreifern QR-Code-basierte Attacken wesentlich erleichtert.
Konkret lässt sich die in der Software integrierte und an sich sehr sinnvolle Funktion, die URL, auf die ein QR-Code weiterleiten will, anzuzeigen, leicht manipulieren. Diese Anzeige der URL soll eigentlich verhindern, dass Nutzer ohne Vorwarnung auf eine schadhafte URL zugreifen.
Allerdings: Diese Funktion lässt sich sehr einfach aushebeln. Wird etwa die Adresse notebookcheck.com/ via QR-Code verschlüsselt, so öffnet der Safari-Browser nur den letzten Teil der URL, iOS zeigt aber den ersten Teil der URL an. Das Parser-Problem ist Apple bereits seit Dezember bekannt.