蘋果 iOS 可配合內建「相機」App 掃瞄 QR 條碼,用以打開 Safari 瀏覽器瀏覽 QR 條碼背後的網站。然而最近有資訊安全公司發現,有心人會包裝網址,誘導用戶瀏覽不安全網頁。用戶在畫面看到的網域,與實際瀏覽的網頁不同。
iOS 11 新增的 QR 條碼辨識功能,讓用戶使用 iPhone、iPad 等 iOS 裝置的相機對準 QR 條碼時,會顯示出條碼背後的網址,用戶確認後便可利用 Safari 瀏覽器打開該網站。德國資訊安全公司 Infosec 發現,只要加工網址,用戶確認畫面時看到的網域,會與實際瀏覽網址的網域不同。
Infosec 首先使用一個網址「https://infosec.rm-it.de/」製作 QR 條碼,iOS 能正常讀取該條碼,並彈出「Open “infosec.rm-it.de” in Safari」的正常確認視窗。
但如果把網址更改成「https://xxx\@facebook.com:443@infosec.rm-it.de/」,iOS 的「相機」App 卻會錯誤判斷 QR 條碼網址的網域,顯示出「Facebook.com」的確認畫面。
▲ 打開已動手腳的 QR 條碼,畫面雖然表示會連接到 Facebook.com……
▲ 然而實際上會移到不同網域的網頁。圖為 Infosec 公司示範網頁。(Source:Infosec)
Infosec 認為這是 iOS 的程式錯誤,有心人可利用這種方式,製作誤導手機用戶的 QR 條碼,誘導用戶進入一些不安全網站或釣魚網站,呼籲蘋果盡快修復錯誤。