Depuis la sortie d'iOS 11, Apple permet de scanner rapidement un code QR à l'aide de l'application Appareil Photo de ses iPhone et iPad, une fonction qui est toutefois touchée par une faille susceptible d'être exploitée par des pirates pour rediriger les utilisateurs vers une URL différente de celle annoncée par l'application.
Infosec, qui a mis en lumière ce bug, précise avoir fait part de ses découvertes à Apple en décembre dernier et n'avoir reçu aucune réponse ni vu passer de correctif dans les dernières mises à jour d'iOS.
Face à ce silence, l'entreprise spécialisée dans la sécurité informatique a donc décidé de publier le fruit de ses recherches et livre une démonstration exploitant la fameuse faille avec un code QR censé conduire les utilisateurs sur Facebook et pointant en réalité vers son propre site.
En passant le code devant l'appareil photo d'un iPhone, ce dernier ouvre en effet un popup demandant l'autorisation d'ouvrir l'URL facebook.com dans Safari, mais redirige en réalité vers https://infosec.rm-it.de, une redirection mise en place assez simplement, en intégrant au code QR l'adresse https://xxx\@facebook.com:443@infosec.rm-it.de/.
Un bug qui pourrait bien être exploité par les spécialistes du hameçonnage, qui rivalisent aujourd'hui d'ingéniosité pour tenter de duper les utilisateurs et récupérer leurs identifiants de connexion, souvent en usurpant l'identité de grandes entreprises.
