Wygodna funkcja, która eliminuje potrzebę sięgania po dedykowane aplikacje dla kodów QR, okazała się być niedopracowaną pod względem bezpieczeństwa. Jak informuje 9to5Mac, nowa luka została znaleziona przez niemiecki serwis Infosec w skanerze kodów QR dostępnym z poziomu systemowej aplikacji aparatu. Pozwala ona przeprowadzić atak na użytkownika wyłącznie z wykorzystaniem odpowiednio spreparowanego kodu QR.
Aplikacja aparatu Apple, po zeskanowaniu kodu QR, który zawiera link do strony, pyta użytkownika czy na pewno chce odwiedzić dany adres. Nieświadomego użytkownika można jednak łatwo oszukać. Komunikat nie musi zawierać prawdziwej informacji. Przykładowo pojawić może się pytanie o otwarcie strony Facebooka w przeglądarce Safari, ale tak naprawdę kod QR przekieruje na dowolną inną stronę.
Jak najbardziej komunikat Otwórz facebooka.com w Safari prowadzić może do złośliwej strony Internetowej. Z wykorzystaniem spreparowanej strony przestępca może wyciągnąć dane logowania, numer telefonu czy nawet dane dotyczące karty płatniczej.
Odkrywcy luki twierdzą, że luka został zgłoszona Apple już 23 grudnia ubiegłego roku, ale firma wciąż nie naprawiła błędu. Przeprowadzony przez nas test wykazał, że iPhone 7 z najnowszą wersją iOS-a (11.2.6) jest podatny na opisywany atak.