Lecteur de QR Code sur iOS : attention, un lien peut en cacher un autre
Un bug dans le lecteur de QR Code intégré à l’application Photo sur iOS permet de tromper le système en affichant un lien différent de celui vers lequel le QR Code pointe.
Après avoir récemment appris que l’application Photo d’iOS permettait de scanner directement des QR Code, Roman Mueller, qui travaille dans la sécurité informatique et tient le blog Infosec, s’est aperçu qu’il était possible de faire afficher un lien après avoir scanné un QR Code qui semble normal dans la notification système mais qui une fois que l’on clique dessus pour confirmer que l’on souhaite bien se rendre sur la page en question ouvre en réalité un deuxième lien caché qui amène vers une URL différente de celle affichée dans la notification initiale.
En effet l’application Photo d’iOS, scanne automatiquement les QR Code et propose ensuite une notification avec le lien contenu dans le QR Code. Mais en ajoutant un antislash entre deux URL, le système affiche la première à l’utilisateur dans la notification et le redirige vers la seconde lorsqu’il confirme l’action sans la lui montrer.
Son exploit ne lui a pris que quelques minutes explique-t-il sur son blog. Il a signalé le problème à Apple le 23 décembre dernier qui ne l’a pour l’instant pas encore résolu près de 3 mois plus tard. Pourtant, des personnes mal intentionnées pourraient aisément utiliser cette faille pour tromper les utilisateurs iOS.
Comme vous pouvez le voir ci-dessous, le QR Code scanné est censé selon la notification système dirigé vers "facebook.com", mais en réalité il amène directement sur l’URL de son blog renseignée après l’antislash. Voici le code en question "https: // xxx @ facebook.com : 443@infosec.rm-it.de/"