Čtečka QR kódů v iOS obsahuje chybu, která může dostat uživatele na podvodné stránky

0
0
1
0

Nebezpečná chyba ve funkci čtečky QR kódů zabudovaná do aplikace Fotoaparát v iOS by mohla způsobit velké problémy. Chyba se totiž projevuje tak, že nabízí otevření požadované stránky, ale ve skutečnosti bude uživatel přesměrován na podvodnou stránku. Ta by mohla patřit hackerovi, vypadat neškodně a působit jako stránka, kterou opravdu uživatel chce navštívit. 

iOS 11 má v sobě zabudovanou velmi šikovnou funkci, díky které můžete skenovat QR kódy bez nutnosti instalace nové aplikace. Jednoduše stačí otevřít zabudovanou aplikaci Fotoaparát a namířit fotoaparát na skenovaný QR kód. Telefon poté provede akci, kterou v sobě má QR kód zapsanou. Většinou se QR kódy používají na přenos kontaktních informací nebo na rychlé otevření webových stránek. A právě při skenování webových adres z QR kódů by mohlo dojít k problémům. Jakmile totiž aplikací Fotoaparát naskenujete QR kód se zakódovanou webovou adresou, vyskočí notifikace ze Safari, která vám umožní otevřít web na této adrese. Jenomže kvůli této chybě se nemusí otevřít web na adrese, která se vám ukázala v notifikaci.

Firma Infosec přišla s tím, že je velmi jednoduché ošálit tuto čtečku QR kódů tím, že se načte jedna adresa, ale v prohlížeči se otevře zcela jiná. Níže v tomto článku naleznete QR kód, na kterém si tuto chybu můžete sami vyzkoušet. Po naskenování tohoto kódu vaším iPhonem budete dotázáni, zda chcete přesměrovat na stránku Facebook.com. Pokud na tuto notifikaci kliknete, budete ale ve skutečnosti přesměrováni na stránku MacBlog.sk.

Pokud si naskenujete QR kód níže na této stránce s iOS (11.2.1) aplikací Fotoaparát, ukáže se notifikace:

Otevřít ,,facebook.com” v aplikaci Safari

Pokud však na notifikaci kliknete, otevře se vám místo toho stránka https://www.macblog.sk

Jediné, co k vytvoření takového podvodu potřebujete je zakódovat následující URL do QR kódu

https://xxx\@facebook.com:443@macblog.sk/

iOS poté v notifikaci zobrazí první URL adresu, ale otevře v Safari adresu druhou. Zde je QR kód, na kterém si to můžete vyzkoušet:

Stránka Infosec uvádí, že chyba byla Applu nahlášena už 23. prosince, ale dosud nebyla opravena. Apple byl požádán o komentář, ale zatím se nevyjádřil. Pokud se vyjádří, aktualizujeme tento článek.

Jak se ubránit?

Pokud byste naskenovali takovýto QR kód, mohla by se například otevřít stránka, která vypadá jako Facebook a v horním řádku se opravdu ukazuje nápis “facebook.com”. Ve skutečnosti by ale šlo o stránku na hackerovo serveru. Jakmile byste vyplnili přihlašovací údaje, na hackerův server by se uložily a ten by si je poté mohl kdykoliv stáhnout a zneužit. Jedinou ochranou, kterou mohu doporučit je skenovat QR kódy pouze od ověřených osob a kontrolovat URL adresy po rozkliknutí adresového řádku. V dnešní době už je také většina stránek zabezpečena certifikáty. Proto se vždycky dívejte, zda-li se nalevo od adresy ukazuje ikona zámečku.

Většina z nás zřejmě tento “útok” nezažije, ale je dobré vědět jak takovým věcem předejít.


Našli ste v článku chybu? Napíšte nám na redakcia@macblog.sk.

komentár
Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *



— Predchádzajúci

Týždeň v skratke: zlatý iPhone X za nižšiu cenu, hry na iOS, blížiaci sa event a ďalšie

Následujúci —

Spotify očekává, že koncem roku bude mít 92 - 96 milionů platicích uživatelů, co na to Apple Music?

Články, ktoré by sa vám mohli páčiť
WWDC 24
pokračovanie článku

Apple ohlásil WWDC 2024!

Ukazuje sa, že úniky spojené s informáciami zo sveta Applu majú niečo do seba. Nedošlo však k ohláseniu nových iPadov, ale tohtoročnej konferencie WWDC '24.
Gemini
pokračovanie článku

Kto prinesie vyspelú AI na iOS 18? Apple to nebude

Koncom minulého roka sa objavila správa, podľa ktorej Apple plánuje priniesť rozšírenú AI funkcionalitu na iPhone a ďalšie zariadenia. Výraznou premenou by si mala prejsť Siri, digitálna asistentka, ktorá už skôr zaostávala za konkurentmi, vo svete GPT je však ešte archaickejšia.