iOSカメラアプリに組み込まれたQRコードリーダーの脆弱性により、ユーザーは知らないうちに悪意のあるWebサイトに誘導されている可能性があります。

iOS 11では、標準のカメラアプリを使用してiPhoneをQRコードにポイントするだけで、コードを読み込んで行動することができます。埋め込まれたウェブサイトのURLの場合、iOSはリンク先アドレスを表示し、訪問するサイトを確認するために「確認」ボタンをタップするようにメッセージが表示されます。しかし、じつは、表示されたリンクではなく、別のページへいってしまう可能性があります。

QRコードリーダーの脆弱性により、ユーザーは知らないうちに悪意のあるWebサイトに誘導

Infosecは、1つのURLを表示しつつ、遷移する際は別のURLへいくようにユーザーをだますのは簡単だといいます。このサイトでは、Safariでfacebook.comを開くかどうかを尋ねるQRコードを表示していますが、実際には自分のWebサイトへ遷移させます。

iOS（11.2.1）カメラアプリで[以下のQRコード]をスキャンすると、この通知が表示されます：

Safariで「facebook.com」を開く

しかし、サイトを開くためにタップすると、代わりにhttps://infosec.rm-it.de/が開きます

これを達成するために必要なのは、下の形式のURLを埋め込むだけです。

https：// xxx \ @ facebook.com：443@infosec.rm-it.de/

iOSは最初のURLを表示しますが、2番目のURLに移動します。 QRコードがありますので、心配な方は、試してみてください。



このサイトでは、昨年12月23日にAppleに報告したとのことですが、まだ修正されていないという。