iOS 讀取 QR 條碼功能出事 可被利用誘至釣魚網站

讚好此文:

三月 27, 2018 •資訊保安

蘋果 iOS 可配合內置「相機」App 掃瞄 QR 條碼,用以打開 Safari 瀏覽器瀏覽 QR 條碼背後的網站。然而最近有資訊安全公司發現,有心人可對網址進行包裝,誘導用戶瀏覽不安全網頁。用戶在畫面上看到的網域,會同實際瀏覽到的網頁有所不同。

iOS 11 新增的 QR 條碼辨識功能,讓用戶使用 iPhone、iPad 等 iOS 裝置的相機對準 QR 條碼時,會顯示出條碼背後的網址,用戶確認後便可利用 Safari 瀏覽器打開該網站。德國資訊安全公司 Infosec 就發現,只要對網址進行加工,用戶在確認畫面時看到的網域,與實際瀏覽網址的網域有所不同。

Infosec 首先使用一個網址「https://infosec.rm-it.de/」製作 QR 條碼,iOS 能夠正常地讀取該條碼,並彈出「Open “infosec.rm-it.de” in Safai」的正常確認視窗。

但如果把網址更改成「https://xxx\@facebook.com:443@infosec.rm-it.de/」,iOS 的「相機」App 卻會錯誤地判斷 QR 條碼網址的網域,顯示出「Facebook.com」的確認畫面。

▲圖為資訊安全公司的測試用條碼

▲打開已做手腳的QR條碼,畫面上雖然會表示會連接到 Facebook.com…

▲然而實際上會移到不同網域的網頁,圖為Infosec公司示範網頁

Infosec 認為這是 iOS 的程式錯誤,有心人可利用這種方式,製作誤導手機用戶的 QR 條碼,誘導用戶進入一些不安全網站或釣魚網站。Infosec 呼籲蘋果盡快收復這個軟件錯誤。

資料來源:Infosec

 • 不想錯過新科技 ? 請 Follow unwire.hk FB 專頁http://facebook.com/unwirehk/
• 要入手生活科技潮物 即上 unwire store
https://store.unwire.hk/

Tags: ,

讚好此文:


Comments are closed.

unwire TV



更多同類文章:

最新文章