蘋果 iOS 可配合內置「相機」App 掃瞄 QR 條碼,用以打開 Safari 瀏覽器瀏覽 QR 條碼背後的網站。然而最近有資訊安全公司發現,有心人可對網址進行包裝,誘導用戶瀏覽不安全網頁。用戶在畫面上看到的網域,會同實際瀏覽到的網頁有所不同。
iOS 11 新增的 QR 條碼辨識功能,讓用戶使用 iPhone、iPad 等 iOS 裝置的相機對準 QR 條碼時,會顯示出條碼背後的網址,用戶確認後便可利用 Safari 瀏覽器打開該網站。德國資訊安全公司 Infosec 就發現,只要對網址進行加工,用戶在確認畫面時看到的網域,與實際瀏覽網址的網域有所不同。
Infosec 首先使用一個網址「https://infosec.rm-it.de/」製作 QR 條碼,iOS 能夠正常地讀取該條碼,並彈出「Open “infosec.rm-it.de” in Safai」的正常確認視窗。
但如果把網址更改成「https://xxx\@facebook.com:443@infosec.rm-it.de/」,iOS 的「相機」App 卻會錯誤地判斷 QR 條碼網址的網域,顯示出「Facebook.com」的確認畫面。
▲圖為資訊安全公司的測試用條碼
▲打開已做手腳的QR條碼,畫面上雖然會表示會連接到 Facebook.com…
▲然而實際上會移到不同網域的網頁,圖為Infosec公司示範網頁
Infosec 認為這是 iOS 的程式錯誤,有心人可利用這種方式,製作誤導手機用戶的 QR 條碼,誘導用戶進入一些不安全網站或釣魚網站。Infosec 呼籲蘋果盡快收復這個軟件錯誤。
資料來源:Infosec
分享到 :
最新影片
