Flo's Weblog | Apple News and more... Alles über Apple und Gadgets

Offenbar wurde eine weitere Sicherheitslücke in iOS 11 entdeckt, bei der dieses Mal der neue QR-Codescanner in der vorinstallierten Kamera-App betroffen ist. Wie Infosec berichtet, ist es Sicherheitsforschern gelungen, dem Scanner einen manipulierten QR-Code unterzujubeln, der dem Benutzer suggeriert, eine vertrauenswürdige Webseite aufzurufen, während eigentlich eine ganz andere Seite, etwa eine gleich aussehende Fishing-Seite geöffnet wird. Demonstriert wird dies anhand eines QR-Codes, der in der erscheinenden Benachrichtigung vorgibt, facebook.com in Safari zu öffnen, beim Tap des Nutzers jedoch eine andere Webseite aufruft.

Der Grund für dieses Verhalten liegt darin begründet, dass Apples QR-Scanner die zugrundeliegende URL nicht korrekt verarbeitet. So ist es mithilfe einiger weniger zusätzlicher Zeichen möglich, eine andere Seite zu öffnen, als in der Benachrichtigung angegeben ist. Verwendet wurde dabei das folgende Muster:

https://xxx@facebook.com:443@infosec.rm-it.de/

Offenbar interpretiert der QR-Scanner die einleitende Zeichenfolge xxx als Benutzernamen für eine Webseite, in diesem Fall also facebook.com. Safari hingegen sieht die kompette Zeichenkette "xxx@facebook.com:443" als Benutzernamen und die anschließende Portnummer 443 als zugehöriges Passwort für die URL infosec.rm-it.de. Dies führt dann im Browser schließlich auch zum Aufruf von infosec.rm-it.de und eben nicht wie in der Benachrichtigung angezeigt zum Aufruf von facebook.com.

Die Wissenschaftler haben diesen Fehler nach eigenen Angaben bereits am 23. Dezember 2017 an Apple gemeldet, bislang jedoch keine Antwort erhalten. So ist der Bug auch in den aktuellen iOS-Versionen enthalten. Ob er mit der für morgen erwarteten finalen Version von iOS 11.3 gefixt wird, muss abgewartet werden. Wer möchte, kann dan Bug selbst mit dem nachfolgenden QR-Code testen. Dieser zeigt facebook.com als Ziel an, öffnet stattdessen jedoch meinen Blog als Webseite.