Uma vulnerabilidade no app da câmera de dispositivos iOS pode direcionar usuários para sites maliciosos. De acordo com o pesquisador Roman Mueller, do Infosec, existe uma falha no sistema de leitura de QR Code na câmera que pode resultar em mostrar um link, mas encaminhar o usuário para um outro, caso ele clique.
• Apple corrige o bug do caractere estranho que travava tudo
• Bug que aparece em comercial do iPhone X foi consertado — mas só no comercial
Mueller deu um exemplo do erro em questão no qual um código mostra um link para o facebook.com ser aberto via Safari, mas que na verdade envia os usuários para seu próprio site:
Se você escanear [o QR Code abaixo] com o app de câmera do iOS (11.2.1), ele mostrará esta notificação:
Abrir “facebook.com” no Safari
Mas se você tocar para abrir o site, ele abrirá a página https://infosec.rm-it.de/
O pesquisador tuitou até um gif que mostra como isso funciona na prática:
Apple iOS camera app doesn’t properly parse URLs in QR codes. It shows a different host in the notification than it really opens. As of now still unfixed: https://t.co/EMQk7uBQ9i pic.twitter.com/KE6EwYhj7s
— @faker_ Roman (@faker_) 24 de março de 2018
Para atingir esse resultado, é necessário que o QR Code embutido contenha um link neste formato:
https://xxx\@facebook.com:443@infosec.rm-it.de/
Mueller explicou o processo da seguinte forma:
O leitor de URL do app da câmera tem um problema em detectar o nome do host nesta URL da mesma forma que o Safari faz.
Ele provavelmente detecta “xxx\” como o nome de um usuário a ser enviado para “facebook.com:443″.
Embora o Safari possa interpretar o comando completo “xxx\@facebook.com” como um nome de usuário e “443” como a senha para ser enviada para o site infosec.rm-it.de.
Qualquer usuário que escanear o código veria um prompt de comando de que ele irá para o Facebook, e, em vez disso, terminar no site da infosec. Não é difícil imaginar como isso pode ser usado para redirecionar usuários para sites maliciosos ou para malwares.
QR code maliciosos podem não figurar na lista das maiores ameaças de segurança. No entanto, qualquer um pode facilmente criar este código e espalhá-lo fisicamente ou via qualquer website que permite hospedar imagem. Além disso, este erro pode enganar usuários ao pensar que eles vão para uma página legítima, mesmo que sejam cautelosos o bastante para não clicar em um link de um encurtador.
De acordo com Mueller, ele notificou a Apple sobre o erro em 23 de dezembro de 2017, e a falha ainda não foi corrigida em 24 de março.
De qualquer jeito, até que o bug seja corrigido, é recomendado que usuários do iPhone evitem este tipo de ação. Você se lembra do Telugu, aquele erro do caractere estranho que travava o smartphone? Na época, por zoeira ou maldade, não faltaram pessoas que espalharam o bug. Segundo a ZDNet, o iOS 11.3 deve ser liberado ainda nesta terça-feira (27), então é possível que o erro só seja corrigido em um futuro próximo.
Foto do topo por Getty Images