Página Inicial
  • Login
  • Esqueci a Senha
  • Lista de Compras
  • Notícias
  • Humor
  • Cadastro



twitter

Facebook

  Notícia
|

 

UM BUG NO IPHONE PARA LEITURA DE QR CODE PODE LEVAR USUÁRIOS PARA SITES MALICIOSOS

27/03/2018

 

Uma vulnerabilidade no app da câmera de dispositivos iOS pode direcionar usuários para sites maliciosos. De acordo com o pesquisador Roman Mueller, do Infosec, existe uma falha no sistema de leitura de QR Code na câmera que pode resultar em mostrar um link, mas encaminhar o usuário para um outro, caso ele clique.

Mueller deu um exemplo do erro em questão no qual um código mostra um link para o facebook.com ser aberto via Safari, mas que na verdade envia os usuários para seu próprio site:

Se você escanear [o QR Code abaixo] com o app de câmera do iOS (11.2.1), ele mostrará esta notificação:

Abrir “facebook.com” no Safari

Mas se você tocar para abrir o site, ele abrirá a página https://infosec.rm-it.de/

O pesquisador tuitou até um gif que mostra como isso funciona na prática:

Para atingir esse resultado, é necessário que o QR Code embutido contenha um link neste formato:

https://xxx\@facebook.com:443@infosec.rm-it.de/

Mueller explicou o processo da seguinte forma:

O leitor de URL do app da câmera tem um problema em detectar o nome do host nesta URL da mesma forma que o Safari faz.

Ele provavelmente detecta “xxx\” como o nome de um usuário a ser enviado para “facebook.com:443″.

Embora o Safari possa interpretar o comando completo “xxx\@facebook.com” como um nome de usuário e “443” como a senha para ser enviada para o site infosec.rm-it.de.

Qualquer usuário que escanear o código veria um prompt de comando de que ele irá para o Facebook, e, em vez disso, terminar no site da infosec. Não é difícil imaginar como isso pode ser usado para redirecionar usuários para sites maliciosos ou para malwares.

QR code maliciosos podem não figurar na lista das maiores ameaças de segurança. No entanto, qualquer um pode facilmente criar este código e espalhá-lo fisicamente ou via qualquer website que permite hospedar imagem. Além disso, este erro pode enganar usuários ao pensar que eles vão para uma página legítima, mesmo que sejam cautelosos o bastante para não clicar em um link de um encurtador.

De acordo com Mueller, ele notificou a Apple sobre o erro em 23 de dezembro de 2017, e a falha ainda não foi corrigida em 24 de março.

De qualquer jeito, até que o bug seja corrigido, é recomendado que usuários do iPhone evitem este tipo de ação. Você se lembra do Telugu, aquele erro do caractere estranho que travava o smartphone? Na época, por zoeira ou maldade, não faltaram pessoas que espalharam o bug. Segundo a ZDNet, o iOS 11.3 deve ser liberado ainda nesta terça-feira (27), então é possível que o erro só seja corrigido em um futuro próximo.
 
 
Fonte: Gizmodo

 
Indique esta notícia Indique esta notícia para um amigo

Início Notícias  | Voltar