Um investigador de segurança divulgou uma falha na versão mais recente do iOS que pode levar os utilizadores do iPhone a acederem a um site malicioso ao invés de um site seguro.
Com o iOS 11, a Apple lançou uma nova funcionalidade na câmara que permite aos utilizadores analisarem os códigos QR e acederem a conteúdos contidos nos mesmos (como URLs). Anteriormente, era necessário instalar uma aplicação para esse efeito.
Por outras palavras, se apontar a app de câmara do seu iPhone para o código QR abaixo, será convidado a visitar o blog internacional da ESET em www.welivesecurity.com.
O problema é que como descreve o investigador de segurança Roman Mueller, levou apenas alguns minutos a encontrar uma forma de construir um código QR que mostre um domínio que não pareça suspeito na notificação, mas que leve o utilizador a visitar um URL completamente diferente no Safari.
Para provar a sua teoria, Mueller gerou um código QR contendo a URL
https: // xxx \ @ facebook.com: 443@infosec.rm-it.de/
Quando esse código é digitalizado no iOS 11, uma notificação informa os utilizadores que estão prestes a visitar o facebook.com, mas, na verdade, são levados para o site da Mueller em https://infosec.rm-it.de/
É verdade que esta prova de conceito é inofensiva – mas demonstra como qualquer pessoa pode criar um código QR que parece ser uma coisa, mas na verdade leva um utilizador para um site de phishing ou uma página Web que contenha malware.
Mueller relatou a vulnerabilidade à Apple a 23 de dezembro de 2017 e, até o momento, ainda não foi corrigido. Considerando que deu tempo mais que suficiente à Apple para resolver o problema, tornou pública a sua descoberta. Eventualmente esta acção deverá levar a Apple a libertar uma correção mais cedo ou mais tarde.