如果您有iPhone,並且習慣於使用相機應用程序掃描QR碼,請當心!一個缺陷使黑客可以輕鬆地欺騙用戶並將其重定向到被困的網站,同時他認為要去一個值得信賴的網站。由安全研究人員發現羅馬穆勒,這種脆弱性與Parseur有關,顯然很難管理某些字符字符串。
以以下QR代碼為例:
它編碼這個非常奇怪的URL:
通過使用相機應用程序掃描它,它將顯示以下警報:
在Safari中打開“ Facebook.com”
但實際上,如果用戶點擊它,他不會在facebook.com上找到自己,而是在infosec.rm-it.de上找到自己。“相機應用程序的URL Parseur無法以與Safari的方式相同的方式檢測域名”,在他的博客上強調了安全研究人員。但是,他不知道這個錯誤的深刻原因。它假設在第一種情況下,“ XXX”被檢測為Facebook.com網站上用戶的名稱。在第二種情況下,這可能是鏈條”[電子郵件保護]誰將在infosec.rm-it.d上被理解為用戶。地點。羅馬·穆勒(Roman Mueller)去年12月向蘋果提醒。三個月後,不幸的是,該錯誤仍未糾正。同時,最好避免QR碼。
在Android上也是Trys
QR碼的問題不僅存在於iOS上。在Android上,用戶也應該保持警惕。安全研究人員sophos已經在Google Play上檢測到了一系列QR碼,這些QR碼實際上是涵蓋用戶界面上廣告的Troy廣告馬。其中一些已下載超過500,000次。從那以後,它們已被Google刪除。
