iOS 11: QR-Code Sicherheitslücke in der Kamera-App entdeckt

Ein praktisches Feature von iOS 11 ist die Scan-Funktion von QR-Codes. So genügt es die Kamera auf einen QR-Code auszurichten und die Kamera-App gibt die entsprechende Adresse an, die man in Safari anschließend öffnen kann. Wie Infosec jedoch festgestellt hat, ist es möglich die Funktion in die Irre zu führen, womit eine Webseite unter falschem Hostnamen aufgerufen werden kann.

Bug verweist auf falsche Seite

Eine Schwachstelle im Code-Reader von iOS 11 ermöglicht es, dass eine im QR-Code hinterlegte Webseite mit einem falschen Namen angezeigt wird. Wenn man mit der Kamera-App den QR-Code scannt, weist zunächst eine Benachrichtigung auf die entsprechende Webseite hin. So ist normalerweise sichergestellt, dass man keine dubiosen Wege einschlägt.

Durch den Bug kann diese Anzeige jedoch manipuliert werden. Scannt man beispielsweise folgenden Code, bietet iOS die Weiterleitung auf facebook.com an. Allerdings landet man nach der Bestätigung nicht bei Facebook, sondern auf der Seite: „https://xxx\@facebook.com:443@infosec.rm-it.de/

Die Kamera-App erkennt hier den falschen Hostnamen und gibt ihn entsprechend aus. Dieses Verhalten kann schnell missbraucht werden. Nutzer können beispielsweise auf Webseiten mit schadhaften Inhalten verwiesen werden, obwohl ihnen zunächst eine sichere angezeigt wird. Apple wurde bereits über das fehlerhafte Verhalten informiert und wird aller Voraussicht wieder schnell reagieren und den Fehler beheben.