Dan Pražák Même si iOS 11 est un système performant à bien des égards, sa stabilité et sa sécurité ne sont pas si exemplaires. Alors qu'Apple travaille toujours sur un correctif pour le dernier bug qui permettait à Siri de lire les messages cachés sur l'écran de verrouillage, une autre faille de sécurité impliquant l'application native Appareil photo et sa capacité à scanner des codes QR malveillants a été révélée ce week-end.
Il pourrait être vous intéresse
Server Infosec est arrivé à la conclusion que l'application Appareil photo, ou plutôt sa fonction de numérisation des codes QR, est dans certaines circonstances incapable de reconnaître le site Web réel vers lequel l'utilisateur sera redirigé. Ainsi, un attaquant peut relativement facilement amener l'utilisateur vers un certain site Web, tandis que l'application l'informe de la redirection vers des pages complètement différentes et sûres.
Ainsi, alors que les utilisateurs verront qu'ils seront redirigés vers facebook.com, par exemple, en réalité, après avoir cliqué sur l'invite, le site https://jablickar.cz/ sera chargé. Cacher la véritable adresse dans un code QR et tromper le lecteur sous iOS 11 n'est pas difficile pour un attaquant. Ajoutez simplement quelques caractères à l'adresse lors de la création du code QR. L'URL originale mentionnée ressemble à ceci après avoir ajouté les caractères nécessaires : https://xxx\@facebook.com:443@jablickar.cz/.
Galerie de photos
Bien qu'il puisse sembler que le bug n'a été découvert que récemment et qu'Apple le corrigera bientôt, ce n'est pas le cas. En fait, Infosec a déclaré dans son message que le problème avait été porté à l'attention de l'équipe de sécurité d'Apple le 23 décembre 2017 et que malheureusement le problème n'avait pas été résolu jusqu'à aujourd'hui, c'est-à-dire après plus de trois mois. Espérons donc qu'au moins en réponse à la couverture médiatique du bug, Apple le corrigera dans une prochaine mise à jour du système.
