- ニュース
写真:Thomas Leuthard/Flickr
セキュリティ研究者らは、iOS 11 において、ユーザーを悪意のある攻撃に対して脆弱にする新たなバグを発見した。
内蔵の QR コード リーダーの欠陥を悪用すると、最初は無害であるように見せかけた悪意のある Web サイトにユーザーを誘導することができます。
iPhoneとiPadユーザーの大多数がiOS 11にアップグレード済みであれば、カメラをQRコードに向けることで読み取ることができます。Appleの内蔵カメラアプリは、コードを開くかどうかを確認する前に、自動的にコードを認識します。
iOS 11のQRコードバグ
これはサードパーティ製のQRコードリーダーを必要としない便利なツールですが、改善の余地があります。InfoSecの研究者たちは、このリーダーがURLを解析する方法に欠陥を発見しました。この欠陥を悪用されると、ユーザーを悪意のあるウェブサイトに誘導する可能性があります。
攻撃者は特定の形式でURLを埋め込むことで、iOSを騙し、ユーザーをあるウェブサイトに誘導し、その後別のウェブサイトに誘導することができます。例えば、以下のQRコードを開くと、iOSはFacebookにアクセスするかどうかを尋ねますが、実際にはInfoSecのウェブサイトに誘導されます。
写真:InfoSec
攻撃者がこれをどのように利用するかは容易に想像できます。
QRコードがフィッシングメールに埋め込まれ、スキャンすると特別なオファーや無料特典が受けられると謳っている場合があります。すると、ユーザーは本物のように見える悪質なウェブサイトに誘導され、そこで機密情報を入力させられる可能性があります。
iOSが騙される仕組み
この脆弱性を悪用するには、攻撃者は「https://xxx\@facebook.com:[email protected]/」などの形式を使用してコードに URL を埋め込むだけです。
この場合、iOSはウェブサイトを「facebook.com」と認識し、ユーザーにはそれだけしか表示しません。しかし、SafariでURLを読み込むと、実際には「infosec.rm-it.de」へと誘導されます。
InfoSecは12月にAppleにこのバグを報告しましたが、Appleはまだ修正プログラムを提供していません。問題が解決されるまで、QRコードをスキャンした後、Safariのアドレスバーに表示されるURLが本物であることを確認することをお勧めします。
![Mighty Mouse をもっと人間工学的に使いこなそう [今週の最新セール]](https://image.oligur.com/poclnokl/1f/ab/collage-2017-03-28-2.webp)
