Sicherheitsforscher haben einen Fehler im QR-Scanner des iOS 11 gefunden. Angreifer können Nutzern damit auf manipulierte Webseiten locken.
In der Kamera-App von iOS gibt es eine neue Sicherheitslücke. Das hat Roman Müller, Sicherheitsforscher von Infosec, entdeckt. Eine mit iOS 11 eingeführte Funktion zum Scannen von QR-Codes macht zwar die Installation einer separaten Scan-App überflüssig. Sie ist zugleich aber für Spoofing anfällig.
Schwachstelle bei iOS können Kriminelle mittels QR-Code ausnutzen
Gemäß Roman Müller können speziell veränderte QR-Codes mit Links zu Websites dazu führen, dass iOS eine andere URL anzeigt als die, die eigentlich im QR-Code hinterlegt ist und anschließend aufgerufen wird. So wird es Angreifern möglich, Nutzern damit falsche Adressen vortzuäuschen und sie auf manipulierte Webseiten zu locken.
Sobald die Kamera des iPhones einen QR-Code erkennt, erscheint eine Meldung mit der Adresse des Links. Es wird ein Vorschlag ausgegeben, die angezeigte Seite in Safari zu öffnen. Die Sicherheitsforscher haben jedoch das System ausgetrickst, indem sie einen QR-Code dahingehend veränderten, dass die hinterlegte Adresse in der Benachrichtigung als facebook.com angezeigt wird.
In dem von Mueller gewählten Beispiel wird jedoch nicht „Facebook.com“ aufgerufen, sondern die eingebettete URL „https://xxx@facebook.com:443@infosec.rm-it.de/“, die den Nutzer zu Müllers Blog „infosec.rm-it.de“ führt. Bei unachtsamen Usern wäre es auf diese Weise möglich, sie auf unseriöse Seiten zu locken, die vorgeben, echte Seiten zu sein. Durch manipulierte QR-Codes könnten Kriminelle den Bug so ausnutzen, um etwa Zugangsdaten abzugreifen.
Problematisch ist der URL-Parser der Kamera-App
Müller beschreibt den aktuellen Sachverhalt auf iOS 11 wie folgt. „Der URL-Parser der Kamera-App hat ein Problem, den Hostnamen in der URL genauso zu erkennen wie Safari. Wahrscheinlich erkennt sie ‚xxx‘ als Nutzernamen, der an ‚facebook.com:443‘ geschickt werden soll. Safari scheint indessen den kompletten String ‚xxx@facebook.com‘ als Nutzernamen und ‚443‘ als das Passwort für infosec.rm-it.de zu nehmen. Das führt dazu, dass ein anderer Hostname in der Benachrichtigung angezeigt als tatsächlich in Safari geöffnet wird.“
Die Fehlerquelle liegt also darin, dass die Kamera-App nach dem Scan des QR-Codes lediglich den Hostnamen der gescannten Adresse ausgibt und sich somit URLs so manipulieren lassen, dass die Erkennung auf dem iPhone den falschen Teil der Adresse als Hostname ausgibt.
Besser auf iOS 11 vorerst eine externe App nutzen
Dem Sicherheitsforscher zufolge weiß Apple bereits seit 23. Dezember 2017 von der Sicherheitslücke. Der Bug sei bis einschließlich 24. März 2018 nicht behoben worden. Wer allerdings weiterhin QR-Codes unter iOS 11 auslesen möchte, sollte daher vorerst auf eine App eines Drittanbieters zurückgreifen.
Bildquelle: geralt, thx! (CC0 Public Domain)
Tarnkappe.info