یک آسیب‌پذیری جدید در برنامه دوربین iOS کشف شده است که می‌تواند به منظور هدایت کاربر به سایت‌های مخرب بدون اطلاع وی مورد استفاده قرار گیرد.



این آسیب‎پذیری که به صورت درون‏‌ساخت در بارکدخوان دستگاه‏‌های اپل قرار دارد، آخرین نسخه سیستم‎عامل‏ اپل یعنی iOS11را در دستگاه‎های iPhone، iPad و iPod تحت تأثیر قرار داده است.
در iOS 11 اپل قابلیت‏ جدیدی ارائه نموده است که کاربران بتوانند با استفاده از دوربین خود گوشی و بدون نیاز به هیچ‌گونه برنامه ثالثی به صورت خودکار کدهای QR را بخوانند.
برای استفاده از این قابلیت باید دوربین گوشی iPhone یا iPad خود را باز نموده و دستگاه را بر روی یک QR کد بگیرید. اگر QRکد شامل آدرس URL باشد، پیغامی با یک لینک آدرس به شما نشان داده خواهد شد که از شما می‏‌خواهد برای مشاهده آدرس در مرورگر سافاری بر روی لینک کلیک نمایید.

Roman Mueller، محقق امنیتی می‎گوید: "مراقب باشید، ممکن است URL که به شما نشان داده شد را نبینید."
به گفته‎ی این محقق، تجزیه‎کننده URL در بارکدخوان دوربین‎های iOS قادر به شناسایی نام میزبان در URL نیست و همین ضعف به مهاجمان اجازه می‎دهد تا URL نشان داده شده در پیغام را دستکاری نموده و کاربران را برای مشاهده سایت‎های مخرب فریب دهند.


به عنوان یک نمونه آزمایشی Mueller یک QRکد با URL زیر ایجاد نمود:
https://xxx\@facebook.com:[email protected]
اگر شما آن را با دوربین iOS اسکن نمایید، پیغام زیر نشان داده خواهد شد:
Open "facebook.com" in Safari
حال اگر شما بر روی لینک کلیک کنید، عوض سایت فیس‎بوک آدرس زیر باز خواهد شد:
https://infosec.rm-it.de
QR (Quick Response) کد، یک شیوه‌‏ی سریع و راحت برای به اشتراک گذاشتن اطلاعات می‏‌باشد، اما زمانی این مشکل خطرناک‌‏تر شده و خود را بیشتر نشان می‏‌دهد که می‏‌خواهید از کدهای QR برای پرداخت‎های اینترنتی در سایت‎های بانکی استفاده نمایید.
محققان پیش از این، در دسامبر سال گذشته این نقص را به اپل گزارش داده بودند اما شرکت اپل تاکنون اقدامی در جهت رفع این باگ ننموده است.

https://www.cyberpolice.ir/news/121301