iOS 11: QR-Code-Scanner der Kamera-App anfällig für Phishing-Links

26. März 2018 | Betriebssystem | 0 Kommentare »

Der QR-Code-Leser in iOS 11 ist offenbar anfällig für manipulierte Links, wie Sicherheitsforscher herausfanden. Apple wurde über das Problem bereits vor Monaten informiert, reagierte aber bislang nicht.

Apples Kamera-App unter iOS hat mit der Version 11 etwas neues gelernt. Wird ein QR-Code mit der Kamera erfasst, schlägt die Kamera-App automatisch vor, einen eingebetteten Link zu öffnen.

Das ist prinzipiell eine praktische Sache und ermöglicht es, auf Dritt-Apps zu verzichten. Doch der QR-Code-Leser hat eine Sicherheitslücke, die es Phishern ermöglichen kann, Nutzer auf ihre manipulierten Seiten zu locken.

Wird der in den QR-Code eingebettete Link auf eine bestimmte Weise aufgebaut, kann dem Nutzer ein falscher Link vorgespiegelt werden, der in der Benachrichtigung auftaucht, in der er gefragt wird, ob die erkannte Seite geöffnet werden soll.

Der Rest ist bekannt: Der Nutzer öffnet die Seite des Phishers. Wenn er hier jedoch in die Adresszeile schaut, erkennt er die Manipulation, doch vielleicht tut er das ja auch nicht.

Apple wurde bereits vor Monaten von den Entdeckern der Lücke über deren Existenz informiert, doch ist die Schwachstelle weiterhin bi in die aktuelle Version iOS 11.2.6 vorhanden.

Auch die diversen Betas von iOS 11.3 weisen die Schwachstelle auf.

Ein Grund für die träge Reaktion Apples könnte möglicherweise sein, dass ein Angriff auf Basis dieser Lücke aufwendig ist, denn der Angreifer muss seinen manipulierten QR-Code zunächst auf physischen Trägermedien verbreiten. In freier Wildbahn ist es also eher mühsam, so Leute zu erreichen.

Auf Kongressen oder Messen, wo sich an weiterführenden Informationen interessierte Menschen geballt einfinden, sieht die Sache schon anders aus.

Ein böswilliger Subunternehmer könnte hier eine erhebliche Reichweite erzielen.

Künftig heißt es also, auch beim QR-Code scannen vorsichtig sein.

Nachtrag In einer früheren Version dieses Artikels war irrtümlich von Barcodes gesprochen worden. Wir bitten dies zu entschuldigen.


Dir gefällt der Artikel? Teile ihn mit deinen Kontakten:
Kommentare sind derzeit geschlossen, aber du kannst dennoch einen Trackback auf deiner Seite einrichten.

Kommentarfunktion ist deaktiviert