Cuidado con los códigos QR: Un bug en la App de Cámara induce a visitar webs fraudulentas sin que el usuario sospeche nada

Aunque es una funcionalidad que muchos no conocen, iOS 11 permite escanear un código QR bidimensional automáticamente, simplemente apuntando la App de Cámara de iOS al código. Antes, para conseguir algo así hacía falta instalar una App de la App Store que lo hiciera, pero ahora la funcionalidad está incluida directamente en la App de Cámara. Es un tipo de App de las que Apple también ha matado la competencia, como con otras funcionalidades antes. Sin embargo, parece que lo tenían que haber hecho un poco mejor porque un bug en este sistema de identificación de URLs nos muestra, cuando funciona, una notificación que nos indica que se visitará una web cuando en realidad el enlace podría llevarnos a otra web muy diferente, como una web fraudulenta, sin que el usuario pueda sospechar nada antes de aceptar.

App de Cámara identificando un código QR

Según informan en Infosec (vía iPaderos), cuando la App de Cámara identifica un código QR nos muestra una notificación que indica la dirección encontrada en el código. En esta animación podemos ver cómo un código QR indica que abrirá facebook.com, cuando en realidad está abriendo la URL de Infosec.

Animación de un código QR abriendo una web diferente de la que indica la notificación

Esto, no es una redirección, sino que Safari abre directamente otra URL. Esto ocurre porque la URL que hay codificada en el código QR es esta;

https://xxx\@facebook.com:443@infosec.rm-it.de/

Esta extraña URL hace que la notificación, muestre sólo Facebook;

En realidad, lo que hará será abrir https://infosec.rm-it.de/ directamente. La parte del programa que detecta la URL no funciona bien cuando se forman de esta manera, mostrando una información en la notificación que es incorrecta.

El problema ya está reportado al equipo de seguridad de Apple, el pasado día 23 de Diciembre, pero tres meses más tarde, el problema continúa sin corregirse. Quizás ahora que aparece en los blogs de la blogosfera manzanera, se den más prisa y le den cierta prioridad, porque algo así podría ser utilizado, por ejemplo, para enviar a usuarios a páginas de adultos cuando en la notificación nos muestra una página mucho más tranquila, o podría por ejemplo indicar que te lleva a la web de tu banco, cuando en realidad está abriendo otra página muy similar en un dominio diferente, en un intento de phising. Es un problema grave.

Dejar respuesta

Teclea aquí tu comentario
Introduce aquí tu nombre