Fitur pemindaian kode QR di aplikasi Kamera stok menderita bug pengurai aneh.
Saat dipindai, kode QR yang dibuat secara khusus dapat membawa pengguna ke situs web berbahaya alih-alih URL apa pun yang mendasarinya ditampilkan di spanduk pemberitahuan.
Sebagaimana dirinci dalam laporan baru oleh Infosec, ada bug di parser kode QR iOS 11 yang memungkinkan aplikasi Kamera stok untuk secara otomatis memindai kode QR dan menafsirkannya.
TUTORIAL: Cara cepat bergabung dengan jaringan Wi-Fi menggunakan Kamera iPhone Anda
Masalahnya adalah, kode QR yang dibuat khusus akan menunjukkan nama host yang tidak menguntungkan di spanduk notifikasi tetapi membuka URL lain di Safari.
Anda dapat mencobanya sendiri dengan memindai kode QR yang disematkan di bawah ini dengan aplikasi Kamera stok di iOS 11 (catatan: Pindai Kode QR harus diaktifkan di Pengaturan → Kamera).
Setelah memindai kode, pesan "Buka 'facebook.com' di Safari" muncul di spanduk pemberitahuan tetapi mengetuknya malah membuka situs web https://infosec.rm-it.de/.
Ternyata, ini dapat dicapai dengan menyematkan URL dalam format https: // xxx \ @ facebook.com: [email protected]/ di mana parser akan menampilkan URL pertama tetapi notifikasi sebenarnya akan membawa Anda ke URL lainnya.
Pembaca kode QR pihak ketiga juga rentan terhadap masalah ini.
Bahkan, beberapa aplikasi ini justru menempatkan Anda pada risiko yang lebih besar dengan secara otomatis membuka tautan segera setelah memindai kode. Pemindai kode QR pihak ketiga lainnya mungkin macet.
Masalah ini telah dilaporkan ke tim keamanan Apple pada 23 Desember 2017, tetapi belum diperbaiki hingga hari ini. Sekarang blogosphere Apple telah menyoroti kerentanan yang berpotensi serius ini, Apple semoga segera merilis perbaikan.
Aplikasi Kamera di iOS 11 mengenali beragam kode QR, termasuk kode pengaturan HomeKit, kontak, kalender, peta, pesan, pengaturan jaringan, situs web, URL panggilan balik dan sebagainya..
Sudahkah Anda mencoba pemindaian kode QR iOS 11?
Beri tahu kami di komentar.
