iPhone情報研究所

iPhone最新情報、iPhoneXの情報も

iOS NEWS

QR読み取り機能に落とし穴 通知のURLとは違うアドレスへ飛ばせる脆弱性が発覚

最新のiOSベータでも改善されていない脆弱性

iOS11よりデフォルトのカメラアプリでQRコードが読み取れるようになりました。しかしドイツのセキュリティ研究者によればここに重大な脆弱性があったようです。

 

ドイツのセキュリティ研究者Roman Mueller氏が自身のブログで3月24日に発表した内容によれば、iOS端末でURLに繋がるQRコードを読み取った際、通知欄に出てくるURLと実際にブラウザで開かれるURLを異なるものにすることが可能であるといいます。

実際に実験を行った様子が以下のGIFです。

 

通知欄には「facebook.comをsafariで開く」と出ているのに実際に開かれたのはMueller氏のブログでした。

Mueller氏はこれはそう難しい偽装ではないと言います。この脆弱性を使えば有名サイトと見せかけて悪意のあるURLにジャンプさせることは非常に容易いでしょう。

そしてこれは2017年12月23日時点でAppleへ報告済みということですが最新のiOSベータ版でも修正されていないのだそう。

見るからにかなり危ういバグなのでAppleには早々に対策をしてほしいものです。

<情報元:iDropNews

<文:研究員A>

-iOS, NEWS

関連記事