Lỗi QR trên Apple iOS 11 có thể dẫn bạn đến những trang web độc hại

28/03/2018 03:00:00

Trong một báo cáo về bảo mật mới đây, các chuyên gia bảo mật đã tiết lộ một lỗ hổng mới trong ứng dụng máy ảnh iOS có thể bị hacker khai thác để chuyển hướng người dùng đến các trang web độc hại mà họ không hề hay biết.

Lỗ hổng này ảnh hưởng đến hệ điều hành di động iOS 11 mới nhất của Apple dành cho thiết bị iPhone, iPad và iPod touch trong hệ đọc mã QR.

Với iOS 11, Apple đã giới thiệu một tính năng mới cho người dùng rằng ứng dụng máy ảnh gốc của iPhone có khả năng tự động đọc mã QR mà không cần yêu cầu bất kỳ ứng dụng đọc mã QR nào của bên thứ ba.

Chỉ cần mở ứng dụng máy ảnh trên iPhone hoặc iPad và đưa thiết bị quét mã QR. Nếu mã này bất kỳ URL nào thì ứng dụng sẽ cung cấp cho người dùng một thông báo với địa chỉ liên kết và yêu cầu người dùng nhấn vào để truy cập URL qua trình duyệt Safari. Tuy nhiên, có thể người dùng sẽ không đến được URL được hiển thị trên mà là đến một nơi hoàn toàn khác. Theo phát hiện của nhà nghiên cứu bảo mật Roman Mueller, trình phân tích cú pháp URL của trình đọc mã QR tích hợp cho ứng dụng camera không phát hiện ra tên máy chủ trong URL cho phép kẻ tấn công hoàn toàn có thể vận dụng URL hiển thị trong thông báo, lừa người dùng truy cập các trang web độc hại thay vì là URL gốc.

Trong phần thực hiện để chứng minh phát hiện của mình, nhà nghiên cứu bảo mật đã tạo ra một mã QR với URL: https: // xxx \ @ facebook.com: 443@infosec.rm-it.de/

Lỗi QR trên Apple iOS 11 có thể dẫn bạn đến những trang web độc hại

Nếu người dùng iOS quét nó bằng ứng dụng máy ảnh, nó sẽ hiển thị thông báo sau:

Mở "facebook.com" trong Safari

Khi bạn nhấn vào nó để mở trang web, nó sẽ mở ra:

https://infosec.rm-it.de/

Nhà nghiên cứu đã thử nghiệm lỗ hổng và thể hiện như ảnh chụp màn hình trên, iPhone X của ông chạy iOS 11.2.6 và thí nghiệm đã thành công.

Mã QR vốn là một cách nhanh chóng và tiện lợi để chia sẻ thông tin, nhưng vấn đề này dần trở nên nguy hiểm hơn khi người dùng dựa vào mã QR để bắt đầu thực hiện các giao dịch thanh toán nhanh cũng như mở trong web ngân hàng, tại đó họ hoàn toàn có thể bị hacker lừa dẫn dắt vào các trang web lừa đảo.

Được biết nhà nghiên cứu bảo mật đã báo cáo lỗ hổng này cho Apple từ trong tháng 12 năm ngoái, thế nhưng Apple vẫn chưa có động thái nào sửa lỗi này cho đến nay.

Minh Hương