Schwachstelle im QR-Code-Reader von iOS 11 erlaubt Verschleiern von URLs

In der Kamera-App von iOS gibt es eine neue Sicherheitslücke. Das hat Roman Müller, Sicherheitsforscher von Infosec, entdeckt. Eine mit iOS 11 eingeführte Funktion zum Scannen von QR-Codes macht zwar die Installation einer separaten Scan-App überflüssig, ist zugleich aber für Spoofing anfällig.

Gemäß Roman Müller können speziell veränderte QR-Codes mit Links zu Websites dazu führen, dass iOS eine andere URL anzeigt als die, die eigentlich im QR-Code hinterlegt ist und anschließend aufgerufen wird. So wird es Angreifern möglich, Nutzern damit falsche Adressen vortzuäuschen und sie auf manipulierte Webseiten zu locken.


Sobald die Kamera des iPhones einen QR-Code erkennt, erscheint eine Meldung mit der Adresse des Links. Es wird ein Vorschlag ausgegeben, die angezeigte Seite in Safari zu öffnen. Die Sicherheitsforscher haben jedoch das System ausgetrickst, indem sie einen QR-Code dahingehend veränderten, dass die hinterlegte Adresse in der Benachrichtigung als faceebook.com angezeigt wird. In dem von Mueller gewählten Beispiel wird jedoch nicht „Facebook.com“ aufgerufen, sondern die eingebettete URL „https://xxx\@facebook.com:[email protected]/“, die den Nutzer zu Müllers Blog „infosec.rm-it.de“ führt. Bei unachtsamen Usern wäre es auf diese Weise möglich, sie auf unseriöse Seiten zu locken, die vorgeben, echte Seiten zu sein. Durch manipulierte QR-Codes könnten Kriminelle den Bug so ausnutzen, um etwa Zugangsdaten abzugreifen.

Müller beschreibt den Sachverhalt wie folgt: „Der URL-Parser der Kamera-App hat ein Problem, den Hostnamen in der URL genauso zu erkennen wie Safari. Wahrscheinlich erkennt sie ‚xxx\‘ als Nutzernamen, der an ‚facebook.com:443‘ geschickt werden soll. Safari scheint indessen den kompletten String ‚xxx\@facebook.com‘ als Nutzernamen und ‚443‘ als das Passwort für infosec.rm-it.de zu nehmen. Das führt dazu, dass ein anderer Hostname in der Benachrichtigung angezeigt als tatsächlich in Safari geöffnet wird.“ Die Fehlerquelle liegt also darin, dass die Kamera-App nach dem Scan des QR-Codes lediglich den Hostnamen der gescannten Adresse ausgibt und sich somit URLs so manipulieren lassen, dass die Erkennung auf dem iPhone den falschen Teil der Adresse als Hostname ausgibt.

Dem Sicherheitsforscher zufolge weiß Apple bereits seit 23. Dezember 2017 von der Sicherheitslücke. Der Bug sei bis einschließlich 24. März 2018 nicht behoben worden. Wer allerdings weiterhin QR-Codes unter iOS 11 auslesen möchte, sollte daher vorerst auf eine App eines Drittanbieters zurückgreifen.

Bildquelle: geralt, thx! (CC0 Public Domain)

Vielleicht gefällt dir auch

Ein Kommentar

  1. Viagr* sagt:

    Kurze Nachschärfung Mit individualisierter Werbung meine ich inhaltlich individuell gestaltete Werbung basierend auf einer Analyse des Empfängers; nicht Standardwerbung, die per individueller Einzelfallentscheidung geschaltet wird. Das wäre m.E. auch eine mögliche Differenzierung zwischen Werbung und Manipulation. Letztere wäre individuell auf den Empfänger und nicht nur Gruppen von Empfängern konzipiert. Weiterhin: Missbrauch scheint ein scharfer Begriff, der darf gerne ersetzt werden. Aber in diesem Kontext gebe ich zu bedenken, dass hier Gruppen das Denken und Fühlen einzelner Personen analysieren und zur Verhaltensbeeinflussung nutzen und dass in vielen Fällen vermutlich der Manipulierte die Mechanismen nicht nachvollziehen kann. Natürlich mag man sagen: Das ist doch im zwischenmenschlichen Leben ständig der Fall. Korrekt. Aber hier liegt eine extreme Asymmetrie vor, weil der Manipulierte den Manipulierenden nicht direkt gegenübersteht und zudem der Manipulierende sich technischer Hilfsmittel bedient. Vermutlich gibt es hierzu aber auch schon schlaue Schriften In jedem Fall wieder ein Beispiel, dass man neue Technologien nicht einfach laufen lassen kann.

Schreibe einen Kommentar