Jedną z nowości wprowadzonych w systemie iOS 11 jest czytnik kodów QR wbudowany w aplikację Aparat. Okazuje się jednak, że funkcja ta posiada lukę umożliwiającą przekierowywanie użytkownika na inny adres, niż ten wyświetlany po zeskanowaniu kodu.

Błąd w działaniu skanera QR został wykryty przez autora bloga Infosec. W zaprezentowanym przez niego przykładzie po zeskanowaniu aplikacją aparat odpowiednio spreparowanego kodu QR wyświetla się komunikat o przeniesieniu na stronę serwisu Facebook, jednak w rzeczywistości użytkownik zostaje przeniesiony na wspomniany wcześniej blog.

Użytkownicy systemu iOS 11 mogą samodzielnie sprawdzić błędne działanie skanera QR, skanując poniższy kod aplikacją Aparat. Jest to dokładnie ten sam kod, który wykorzystano w powyższej prezentacji.

Jak twierdzi sam autor, aplikacje Aparat i Safari najprawdopodobniej nieco inaczej odczytują adresy stron internetowych, przez co odpowiednio skonstruowany odnośnik może doprowadzić do wyświetlania nieprawdziwego adresu strony w komunikacie. Apple zostało poinformowane o błędzie 23 grudnia 2017 roku, jednak jak na razie nie został on naprawiony.

Źródła: Infosec, 9To5Mac