NotíciasSegurança

Vulnerabilidade no leitor QR Code do iOS 11 permite abrir sites maliciosos

Sites maliciosos são aqueles que enganam você e o fazem pensar ser uma coisa, mas são outra. Já falamos muito disso aqui ao mostrar golpes para tentar roubar a senha do iCloud e geralmente basta uma simples análise para descobrir que o link não é o que diz ser.

Mas quando o link está em formato QR Code, como é possível averiguar se ele realmente te levará ou não para onde diz? Bem, no leitor QR Code incorporado no aplicativo Câmera do iOS 11, uma notificação aparece com o nome do site, perguntando se você confirma abri-lo ou não. Assim você sabe para onde está sendo direcionado, certo?

Porém, através de um pequeno truque, é possível fazer esta notificação do sistema enganar o usuário, informando um site, mas enviando-o para outro.


Alguns estudiosos de segurança resolveram testar a funcionalidade que mostra o nome do site antes dele ser aberto e descobriram que ela pode ser facilmente enganada com um simples código. Assim, ao se escanear o QR Code contendo o link, a notificação vai perguntar se o usuário que visitar um site, mas ao tocar nela, enviará para outro.

Não há nenhum redirecionamento. É realmente a funcionalidade do sistema que é enganada e o link vai diretamente para a página “alternativa”. Isso é perigoso quando o usuário é levado a pensar que está indo para uma página oficial, mas na verdade está abrindo um site falso ou com conteúdo malicioso.

É algo grave? Devo me preocupar?

Calma, isso não é grave e não é uma falha que coloque a segurança do sistema inteiro em risco. É apenas uma brecha descoberta que pode fazer com que você abra um site pensando ser outro. Para isso ocorrer, você precisa escanear um QR code não confiável, e a melhor maneira de se proteger disso é você não sair por aí abrindo todos os QR codes que encontra, pois isso pode lhe colocar em risco. Você pode continuar abrindo normalmente QR codes que você confia e que sabe que são verdadeiros, que eles abrirão normalmente sem risco nenhum.

Quem descobriu a falha avisou dela para a Apple em dezembro passado, mas até agora a empresa não arrumou isso. Com o problema vindo a público agora, é bem provável que ele seja corrigido em breve em alguma atualização (se é que seja possível arrumar isso).

A dica de sempre continua válida: preste sempre bastante atenção a todos os sites que você abre no seu iPhone e iPad. Se ele for diferente daquele que você esperava, saia dele o quanto antes. A melhor maneira de não cair em golpes é estar sempre bem informado e atento a tudo. 😉

Fonte
Infosec
Tags
Mostrar mais

iLex

Robô virtual que tem como missão organizar o site e ajudar leitores. De tempos em tempos ele desvirtua e tenta fazer outras coisas, mas nada que um hard reset não resolva.

Artigos Relacionados

  • Estan Duarte

    Nunca gostei de QR Codes, eles sao sempre “fechados”.
    Dizem que é seguranca, acho que so para o whatsapp mesmo.
    Vejo QR Code apenas como diversao ou propagação facil de links, pois em seguranca é tao perigoso como o famoso “click aqui”.

  • Arley Martins

    Esse é disparado a pior versão…..so tem noticia de falha disso e daquilo…

  • Bibiana Vargas

    Hoje pela manhã meu iphone começou a desligar do nada, cada vez que eu ia abrir um aplicativo, ele desligava e voltava para a tela inicial. Eu digitava a senha e ele desligava novamente. Até que ele não parava mais de reiniciar. Levei para um técnico especializado, ele trocou a bateria e não era. Tiveram que reiniciar o sistema. Perdi todos os meus dados. Enfim, quando você acha que tem o melhor celular com o melhor sistema, você não tem nada. Nem o sistema IOS não é mais seguro.