El investigador de seguridad Roman Mueller de Infosec ha descubierto una vulnerabilidad en cómo lee los códigos QR la aplicación Cámara en iOS que permite una redirección completa a otro sitio. Mientras que en la notificación se muestra una URL, el destino puede ser otro sitio web totalmente diferente.
Mueller ha mostrado cómo construir esas URL maliciosas con un ejemplo:
https://xxx\@facebook.com:443@infosec.rm-it.de/
El analizador de URL de la aplicación de la cámara tiene un problema para detectar el nombre de host en esta URL de la misma forma que Safari.
Probablemente detecta “xxx\” como el nombre de usuario que se enviará a “facebook.com:443”.
Mientras que Safari puede tomar la cadena completa “xxx\@facebook.com” como nombre de usuario y “443” como contraseña para ser enviada a infosec.rm-it.de.
Cualquier usuario que escaneara el código vería un aviso de que están a punto de ir a Facebook, y en su lugar terminar en el sitio web de Infosec. No es difícil imaginar cómo se podría usar esto para redirigir a los usuarios a sitios web fraudulentos o malware.
Los códigos QR maliciosos pueden no parecer estar a la cabeza de la lista cuando se trata de vulnerabilidades de seguridad, especialmente porque ya se pueden usar para engañar a los usuarios para que hagan clic en redirecciones usando un servicio de redireccionamiento de URL como Bitly. Pero cualquiera puede crear fácilmente tal código y luego difundirlo ya sea físicamente o a través de cualquier sitio web que permita el alojamiento de imágenes, que es casi todos ellos, y este truco puede engañar a los usuarios para que piensen que van a un sitio legítimo, incluso si son lo suficientemente cautelosos como para no hacer clic en un enlace Bitly.
Según Mueller, él notificó a Apple del error el 23 de diciembre de 2017, y el error aún no se había corregido el 24 de marzo de 2018, unos días después de la última actualización de iOS.
