Security: Wie Konvertierungsfehler von QR-Codes bei iPhones Phishing erleichtert
Der QR-Code-Leser in Apples Kamera-App soll Links möglichst leicht verständlich anzeigen. Doch ein Fehler erlaubt Phishern, eine falsche URL vorzutäuschen.
(Bild: Ulrike Weis/heise medien)
Keine Tippfehler, keine Missverständnisse: Mit QR-Codes ist es kinderleicht, Links weiterzugeben – sei es zur Firmen-Homepage, zu einem Sonderangebot im Supermarkt oder für Produktinformationen. Spezielle Apps zum Übersetzen der QR-Codes sind in der Regel nicht erforderlich, denn die Standard-Kamera-Apps von iPhones und Android-Smartphones enthalten QR-Code-Leser, die Ihnen die Links anzeigen und mit einem Klick darauf im Browser öffnen.
Doch die Link-Vorschau ist nicht vollständig. So versucht Apples Kamera-App auf dem iPhone, die wesentlichen Teile der URL anzuzeigen – das sind mindestens Second- und Top-Level-Domain, manchmal auch den Third-Level-Teil, wenn dieser nicht "www" lautet. So würde ein iPhone die in einem QR-Code eingebettete URL https://www.heise.de/newsticker als "heise.de" anzeigen.
Die Idee ist, Links so aufzubereiten, dass der Nutzer genau erkennen kann, auf welcher Domain er landet. So kann er beurteilen, ob das plausibel oder verdächtig ist. Doch in Experimenten hat c’t herausgefunden, dass eben diese Linkaufbereitung Fehler enthält, mit denen etwa Phisher Links zu unverdächtigen Domains vortäuschen könnten.
Das war die Leseprobe unseres heise-Plus-Artikels "Security: Wie Konvertierungsfehler von QR-Codes bei iPhones Phishing erleichtert". Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.
