Eine Schwachstelle im QR-Code-Reader von iOS 11 erlaubt das Verschleiern von URLs: In QR-Codes steckende und automatisch durch die iPhone- oder iPad-Kamera erfasste Links zeigt das Betriebssystem erst als Benachrichtigung an, damit der Nutzer die URL prüfen kann bevor er diese im Browser Safari öffnet. Aufgrund eines Bugs beim Parsen der URL lässt sich diese Benachrichtigung aber manipulieren, wie infosec.rm-it.de berichtet.

Unauffälliger Link kann auf manipulierte Seite locken

Dies funktioniert etwa durch die Verwendung einer in den QR-Code eingebetteten URL wie https://xxx\@facebook.com:443@infosec.rm-it.de/ : Aufgrund der Fehlers zeigt iOS die URL in der Mitteilung als unauffälligen Link zu facebook.com an – führt tatsächlich aber auf eine ganz andere Seite. Der Parser betrachte “xxx\” wohl als Nutzernamen, der an facebook.com:443 geschickt werden sollte, schreibt infosec.rm-it.de – Safari stelle dabei keinerlei Anfrage an Facebook, sondern öffne sofort die am Ende angehängte URL.

Apple iOS camera app doesn't properly parse URLs in QR codes. It shows a different host in the notification than it really opens. As of now still unfixed: https://t.co/EMQk7uBQ9i pic.twitter.com/KE6EwYhj7s — @faker_ Roman (@faker_) March 24, 2018

Phisher könnten den Bug ausnutzen, um Zugangsdaten zu klauen, etwa durch manipulierte QR-Codes auf Plakaten oder Veranstaltungshinweisen – ein allerdings recht aufwändiges Verfahren. Die in der Adressleiste von Safari angezeigte URL wird dadurch wohlgemerkt nicht verändert, hier können Nutzer das Spoofing also weiterhin erkennen, wenn sie aufmerksam darauf achten.

Schwachstelle bislang unbehoben – auch in iOS 11.2.6

Gängige Apps zum Lesen von QR-Codes zeigen das Problem nicht, der Browser Firefox blendet nach der Erfassung zum Beispiel die vollständige eingebettete URL in der Adressleiste ein – und öffnet diese gar nicht erst. Die URL-Verschleierung ist auch in der aktuellen Version iOS 11.2.6 noch präsent und auch in der Beta von iOS 11.3 bislang unbeseitigt, obwohl die Lücke angeblich bereits im Dezember an Apples Sicherheits-Team gemeldet wurde. Apple unterstützt die Erfassung von QR-Codes mit der integrierten Kamera-App erst seit vergangenem Jahr, es ist eine der Neuerungen von iOS 11.

[Update 28.03.2018 10:45 Uhr] Nutzer können die iOS-Funktion zum automatischen Scannen von QR-Codes in den Einstellungen unter "Kamera" abschalten.

tipps+tricks zum Thema:



(lbe)