点击上方“CSDN”,选择“置顶公众号”
关键时刻,第一时间送达!
在昨天,苹果刚刚开完春季发布会,我们也刚刚分享过百万 Android 用户受感染,彼时还有用户留言道“还好用的 iOS”,然而万万没想到一语成谶,今天 iOS 11 同样跳了二维码识别的坑。
作者 | 言则
责编 | 沭七
闭源系统、且由苹果完全掌握硬件的 iOS 一直被公认为安全系数极高,但是谁说“闭源”生态就不会中招?总有一些招数让你避无可避。据外媒 9to5Mac 近日报道,iOS 系统被曝出一个新漏洞,在用系统的相机应用扫描二维码时会自动提示“跳转网页”,系统有可能在用户不知情的情况下将用户引向恶意网站——这可比 Android 系统还要下载二维码识别器方便得多。
从 iOS 11 开始,iPhone 用户使用自带的相机应用扫描二维码时,即可读取其中的代码并进行相应操作。对于嵌入式网站 URL,iOS 也会显示链接地址并引导用户点击访问......但是,扫描出来的网页链接很可能就是一个坑。
这个漏洞是由 Infosec 安全研究人员 Roman Mueller 发现的。他表示,在用系统自带的相机扫描二维码之后,屏幕上可能会出现一个链接,如果用户点击了这个链接,则会被引导至恶意网站之上。
Mueller 演示了这个漏洞的工作方式:
在安装了 iOS 11.2.1 的手机上,用系统相机扫描一个二维码之后,屏幕上会出现如下提示:在 Safari 中打开“facebook.com";
但是如果你点击了这个链接,它所打开的却并不是 Facebook,而是https://infosec.rm-it.de/。
所有扫描了这个二维码的用户都会收到即将访问 Facebook 的提示,但是实际上打开的却是 Infosec 的网站。而实现这一目的所需做的就是以这种格式嵌入一个 URL:
https://开头XXX\ @ facebook.com:443@infosec.rm-it.de/
笔者按照 Mueller 所说也进行了一把实操,果然自动跳出了如下内容:
图中的二维码,你也可以自己尝试一下
可想而知,如果这个漏洞被恶意网站或是恶意程序所利用的话,毫无疑问将会带来严重的后果。
有趣的是,Mueller 在去年 12 月 23 日就已经向苹果提交了这个漏洞,但是截止到 2018 年 3 月 24 日,也就是最新版本 iOS 升级放出之后的数天,这个 bug 依然没有被修复。
自从 iOS 11 正式版推出以来,各种小毛病就没有断过,苹果所做的也只是哪里有问题就发小更新来解决——长此下来,用户体验又怎么会跟得上呢?
————— 推荐阅读 —————
点击图片即可阅读
161
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
