Νταν Πράζακ Παρόλο που το iOS 11 είναι ένα ικανό σύστημα από πολλές απόψεις, η σταθερότητα και η ασφάλειά του δεν είναι τόσο υποδειγματικές. Ενώ η Apple εξακολουθεί να εργάζεται για τη διόρθωση του πιο πρόσφατου σφάλματος που επιτρέπει στο Siri να διαβάζει κρυφά μηνύματα από την οθόνη κλειδώματος, ένα άλλο ελάττωμα ασφαλείας που αφορά την εγγενή εφαρμογή Camera και την ικανότητά της να σαρώνει κακόβουλους κωδικούς QR αποκαλύφθηκε το Σαββατοκύριακο.
Θα μπορούσε να είναι σε ενδιαφέρει
διακομιστή Infosec κατέληξε στο συμπέρασμα ότι η εφαρμογή Κάμερα, ή μάλλον η λειτουργία της για σάρωση κωδικών QR, υπό ορισμένες συνθήκες δεν μπορεί να αναγνωρίσει τον πραγματικό ιστότοπο στον οποίο θα ανακατευθυνθεί ο χρήστης. Έτσι, ένας εισβολέας μπορεί σχετικά εύκολα να μεταφέρει τον χρήστη σε μια συγκεκριμένη ιστοσελίδα, ενώ η εφαρμογή ενημερώνει για την ανακατεύθυνση σε εντελώς διαφορετικές, ασφαλείς σελίδες.
Έτσι, ενώ οι χρήστες θα δουν ότι θα ανακατευθυνθούν στο facebook.com, για παράδειγμα, στην πραγματικότητα, αφού κάνουν κλικ στο μήνυμα, θα φορτωθεί ο ιστότοπος https://jablickar.cz/. Η απόκρυψη της πραγματικής διεύθυνσης σε έναν κωδικό QR και η κοροϊδία του αναγνώστη στο iOS 11 δεν είναι δύσκολο για έναν εισβολέα. Απλώς προσθέστε μερικούς χαρακτήρες στη διεύθυνση κατά τη δημιουργία του κωδικού QR. Η αρχική αναφερόμενη διεύθυνση url μοιάζει με αυτό αφού προσθέσετε τους απαραίτητους χαρακτήρες: https://xxx\@facebook.com:443@jablickar.cz/.
Fotogalerie
Αν και μπορεί να φαίνεται ότι το σφάλμα ανακαλύφθηκε μόλις πρόσφατα και η Apple θα το διορθώσει σύντομα, αυτό δεν ισχύει. Μάλιστα, η Infosec ανέφερε στην ανάρτησή της ότι τέθηκε υπόψη της ομάδας ασφαλείας της Apple ήδη στις 23 Δεκεμβρίου 2017 και δυστυχώς δεν έχει διορθωθεί μέχρι σήμερα, δηλαδή μετά από περισσότερους από τρεις μήνες. Ας ελπίσουμε λοιπόν ότι τουλάχιστον ως απάντηση στην κάλυψη του σφάλματος από τα μέσα ενημέρωσης, η Apple θα το διορθώσει σε μια επερχόμενη ενημέρωση συστήματος.
