Un difetto nel lettore QR Code integrato nell’app per fotocamera del sistema operativo iOS potrebbe consentire agli utenti di navigare su pagine web pericolose a loro insaputa.

Se il tuo iPhone è aggiornato ad iOS 11, puoi semplicemente puntare il tuo device su un codice QR quando usi l’applicazione fotocamera standard e, questa, leggerà e agirà sul codice. Nel caso di un URL di un sito Web integrato, iOS mostra l’indirizzo del collegamento e ti chiede di fare clic per confermare se desideri visitarlo. Tuttavia, potrebbe non essere il collegamento mostrato.

E’ stato scoperto che è facile ingannare il lettore nella visualizzazione di un URL, ma nella navigazione in un altro. Il sito, ad esempio, mostra questo un codice QR che chiede se si desidera aprire Facebook.com in Safari, ma ciò che fa è inviarlo al proprio sito web.

Se esegui la scansione di questo codice QR con l’app per fotocamera iOS (11.2.1), visualizzerai questa notifica:

Apri “facebook.com”in Safari

Ma se lo tocchi per aprire il sito, invece di aprire Facebook, andrà su https://infosec.rm-it.de/

Ciò che è necessario per ottenerlo è inserire un URL in quel formato:

https: // xxx \ @ facebook.com: 443@infosec.rm-it.de/

e iOS mostra il primo URL, ma indirizza al secondo.

Il sito dice che il 23 dicembre dell’anno scorso Apple ha segnalato il difetto, ma non è stato ancora corretto.