iOS 11: Integrierter QR-Code-Leser anfällig für Spoofing
Die iPhone-Kamera erfasst QR-Codes automatisch und zeigt verborgene URLs vor dem Öffnen zur Sicherheit an – dieser Link lässt sich aber manipulieren, um Nutzer etwa auf eine Phishing-Seite zu locken. Apple wurde über das Problem vor Monaten informiert.
Eine Schwachstelle im QR-Code-Reader von iOS 11 erlaubt das Verschleiern von URLs: In QR-Codes steckende und automatisch durch die iPhone- oder iPad-Kamera erfasste Links zeigt das Betriebssystem erst als Benachrichtigung an, damit der Nutzer die URL prüfen kann bevor er diese im Browser Safari öffnet. Aufgrund eines Bugs beim Parsen der URL lässt sich diese Benachrichtigung aber manipulieren, wie infosec.rm-it.de berichtet.
Unauffälliger Link kann auf manipulierte Seite locken
Dies funktioniert etwa durch die Verwendung einer in den QR-Code eingebetteten URL wie https://xxx\@facebook.com:443@infosec.rm-it.de/
: Aufgrund der Fehlers zeigt iOS die URL in der Mitteilung als unauffälligen Link zu facebook.com an – führt tatsächlich aber auf eine ganz andere Seite. Der Parser betrachte “xxx\” wohl als Nutzernamen, der an facebook.com:443 geschickt werden sollte, schreibt infosec.rm-it.de – Safari stelle dabei keinerlei Anfrage an Facebook, sondern öffne sofort die am Ende angehängte URL.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Inhalt geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Phisher könnten den Bug ausnutzen, um Zugangsdaten zu klauen, etwa durch manipulierte QR-Codes auf Plakaten oder Veranstaltungshinweisen – ein allerdings recht aufwändiges Verfahren. Die in der Adressleiste von Safari angezeigte URL wird dadurch wohlgemerkt nicht verändert, hier können Nutzer das Spoofing also weiterhin erkennen, wenn sie aufmerksam darauf achten.
Schwachstelle bislang unbehoben – auch in iOS 11.2.6
Gängige Apps zum Lesen von QR-Codes zeigen das Problem nicht, der Browser Firefox blendet nach der Erfassung zum Beispiel die vollständige eingebettete URL in der Adressleiste ein – und öffnet diese gar nicht erst. Die URL-Verschleierung ist auch in der aktuellen Version iOS 11.2.6 noch präsent und auch in der Beta von iOS 11.3 bislang unbeseitigt, obwohl die Lücke angeblich bereits im Dezember an Apples Sicherheits-Team gemeldet wurde. Apple unterstützt die Erfassung von QR-Codes mit der integrierten Kamera-App erst seit vergangenem Jahr, es ist eine der Neuerungen von iOS 11.
[Update 28.03.2018 10:45 Uhr] Nutzer können die iOS-Funktion zum automatischen Scannen von QR-Codes in den Einstellungen unter "Kamera" abschalten.
tipps+tricks zum Thema:
(lbe)