Aunque es una funcionalidad que muchos no conocen, iOS 11 permite escanear un código QR bidimensional automáticamente, simplemente apuntando la App de Cámara de iOS al código. Antes, para conseguir algo así hacía falta instalar una App de la App Store que lo hiciera, pero ahora la funcionalidad está incluida directamente en la App de Cámara. Es un tipo de App de las que Apple también ha matado la competencia, como con otras funcionalidades antes. Sin embargo, parece que lo tenían que haber hecho un poco mejor porque un bug en este sistema de identificación de URLs nos muestra, cuando funciona, una notificación que nos indica que se visitará una web cuando en realidad el enlace podría llevarnos a otra web muy diferente, como una web fraudulenta, sin que el usuario pueda sospechar nada antes de aceptar.
Según informan en Infosec (vía iPaderos), cuando la App de Cámara identifica un código QR nos muestra una notificación que indica la dirección encontrada en el código. En esta animación podemos ver cómo un código QR indica que abrirá facebook.com, cuando en realidad está abriendo la URL de Infosec.
Esto, no es una redirección, sino que Safari abre directamente otra URL. Esto ocurre porque la URL que hay codificada en el código QR es esta;
https://xxx\@facebook.com:[email protected]/
Esta extraña URL hace que la notificación, muestre sólo Facebook;
En realidad, lo que hará será abrir https://infosec.rm-it.de/ directamente. La parte del programa que detecta la URL no funciona bien cuando se forman de esta manera, mostrando una información en la notificación que es incorrecta.
El problema ya está reportado al equipo de seguridad de Apple, el pasado día 23 de Diciembre, pero tres meses más tarde, el problema continúa sin corregirse. Quizás ahora que aparece en los blogs de la blogosfera manzanera, se den más prisa y le den cierta prioridad, porque algo así podría ser utilizado, por ejemplo, para enviar a usuarios a páginas de adultos cuando en la notificación nos muestra una página mucho más tranquila, o podría por ejemplo indicar que te lleva a la web de tu banco, cuando en realidad está abriendo otra página muy similar en un dominio diferente, en un intento de phising. Es un problema grave.
