iOS11搭載のiPhoneやiPadのカメラアプリでは、QRコードを読み取る機能が搭載されている。
セキュリティ情報サイトinfosecによると、iOS11でQRコードを読み取ると通知とは違うURLに飛ばされるバグがあると指摘している。
iOS11のバグでカメラアプリのQR読み取り機能に不具合発生
iOS11より搭載されたカメラアプリでのQRコード読み取り機能は便利だ。私はQRコード専用アプリを削除し、iPhoneの純正カメラアプリでQRコードを読み取っている。
そんな便利なカメラアプリだが、iOS11のバグによりこの機能が悪用される可能性を、セキュリティ情報サイトinfosecが指摘している。
今回報告されているバグでは、この機能を利用すると、例えばFacebookなどのサイトを装って悪意あるサイトへ誘導することが可能だという。
このバグ原因は、iOS11がQRコードからURLを認識する方式に不具合があるためとのことだ。
例えば「 https://xxx\@facebook.com:443@infosec.rm-it.de/ 」というQRコードの形式があるとしよう。QPコードを読み取ると通知には「facebook.comに接続」と表示されるが、実際は「infosec.rm-it.de/」に接続される。
これは、「xxx\」がユーザーネーム、「443」がパスワードとして誤認識されることが原因だとinfosecは説明している。
このバグは2017年12月23日にAppleへ報告しているとのことだが、記事執筆時にiOS11.2.6のiPhoneで試してみたが、バグの修正はなされていなかった。
このバグの修正が行われるまでQRコードの読み取りは、できる限り控えた方が賢明かもしれない。
(Via: 9to5Mac)