Schwachstelle im QR-Code-Reader von iOS 11 erlaubt Spoofing

Sicherheitsforscher haben einen Fehler im QR-Scanner des iOS 11 gefunden. Angreifer können Nutzern damit auf manipulierte Webseiten locken.

qr-code reader, iOS

In der Kamera-App von iOS gibt es eine neue Sicherheitslücke. Das hat Roman Müller, Sicherheitsforscher von Infosec, entdeckt. Eine mit iOS 11 eingeführte Funktion zum Scannen von QR-Codes macht zwar die Installation einer separaten Scan-App überflüssig. Sie ist zugleich aber für Spoofing anfällig.

Schwachstelle bei iOS können Kriminelle mittels QR-Code ausnutzen

Gemäß Roman Müller können speziell veränderte QR-Codes mit Links zu Websites dazu führen, dass iOS eine andere URL anzeigt als die, die eigentlich im QR-Code hinterlegt ist und anschließend aufgerufen wird. So wird es Angreifern möglich, Nutzern damit falsche Adressen vortzuäuschen und sie auf manipulierte Webseiten zu locken.

Sobald die Kamera des iPhones einen QR-Code erkennt, erscheint eine Meldung mit der Adresse des Links. Es wird ein Vorschlag ausgegeben, die angezeigte Seite in Safari zu öffnen. Die Sicherheitsforscher haben jedoch das System ausgetrickst, indem sie einen QR-Code dahingehend veränderten, dass die hinterlegte Adresse in der Benachrichtigung als faceebook.com angezeigt wird.

In dem von Mueller gewählten Beispiel wird jedoch nicht „Facebook.com“ aufgerufen, sondern die eingebettete URL „https://xxx\@facebook.com:443@infosec.rm-it.de/“, die den Nutzer zu Müllers Blog „infosec.rm-it.de“ führt. Bei unachtsamen Usern wäre es auf diese Weise möglich, sie auf unseriöse Seiten zu locken, die vorgeben, echte Seiten zu sein. Durch manipulierte QR-Codes könnten Kriminelle den Bug so ausnutzen, um etwa Zugangsdaten abzugreifen.

Problematisch ist der URL-Parser der Kamera-App

Müller beschreibt den aktuellen Sachverhalt auf iOS 11 wie folgt. „Der URL-Parser der Kamera-App hat ein Problem, den Hostnamen in der URL genauso zu erkennen wie Safari. Wahrscheinlich erkennt sie ‚xxx\‘ als Nutzernamen, der an ‚facebook.com:443‘ geschickt werden soll. Safari scheint indessen den kompletten String ‚xxx\@facebook.com‘ als Nutzernamen und ‚443‘ als das Passwort für infosec.rm-it.de zu nehmen. Das führt dazu, dass ein anderer Hostname in der Benachrichtigung angezeigt als tatsächlich in Safari geöffnet wird.“


Die Fehlerquelle liegt also darin, dass die Kamera-App nach dem Scan des QR-Codes lediglich den Hostnamen der gescannten Adresse ausgibt und sich somit URLs so manipulieren lassen, dass die Erkennung auf dem iPhone den falschen Teil der Adresse als Hostname ausgibt.

Besser auf iOS 11 vorerst eine externe App nutzen

Dem Sicherheitsforscher zufolge weiß Apple bereits seit 23. Dezember 2017 von der Sicherheitslücke. Der Bug sei bis einschließlich 24. März 2018 nicht behoben worden. Wer allerdings weiterhin QR-Codes unter iOS 11 auslesen möchte, sollte daher vorerst auf eine App eines Drittanbieters zurückgreifen.

Bildquelle: geralt, thx! (CC0 Public Domain)

Tarnkappe.info

Ich bin bereits seit Januar 2016 Tarnkappen-Autor. Eingestiegen bin ich zunächst mit Buch-Rezensionen. Inzwischen schreibe ich bevorzugt über juristische Themen, wie P2P-Fälle, greife aber auch andere Netzthemen, wie Cybercrime, auf. Meine Interessen beziehen sich hauptsächlich auf Literatur.