Apple iOS 11: Automatische QR-Code-Erkennung lässt sich täuschen

Apple hat ab iOS 11 für die Kamera-App die automatische Erkennung von QR-Codes eingeführt. Das ist ein feine Sache, erleichtert dies doch das Scannen der entsprechenden Codes. Schließlich findet man immer häufiger im Alltag die QR-Codes auf Plakaten, in Zeitschriften, auf Verpackungen von Produkten, etc. Allerdings hat man bei Infosec festgestellt, dass es dabei einen Bug gibt, der womöglich einige Nutzer in die Irre führen könnte. So lässt sich der QR-Code so erstellen, dass er vor dem Abruf der Website in der aufploppenden Benachrichtigung einen anderen Hostnamen anzeigt als denjenigen, der eigentlich zur jeweiligen Website passt.

Scannt ihr etwa obigen Code an einem Smartphone mit Apple iOS 11.2.1 sollte euch angezeigt werden, dass ihr zu facebook.com weitergeleitet werdet. Klingt vertrauenswürdig, kann man wohl machen. Allerdings landet ihr nach der Bestätigung gar nicht dort, sondern auf Infosec. Das liegt daran, dass als URL folgende eingebettet ist: „https://xxx\@facebook.com:443@infosec.rm-it.de/„.

Der URL-Parser der Kamera-App erkennt hier den falschen Hostname und schwupps, glaubt derjenige, welcher den QR-Code gescannt hat, dass er zu Facebook weitergeleitet wird – landet aber eben ganz woanders. Hier ist also durchaus Missbrauchspotential vorhanden. Apples Security Team wurde bereits über den Bug informiert. Behoben wurde er bisher allerdings noch nicht.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

André Westphal

Hauptberuflich hilfsbereiter Technik-, Games- und Serien-Geek. Nebenbei Doc in Medienpädagogik und Möchtegern-Schriftsteller. Hofft heimlich eines Tages als Ghostbuster sein Geld zu verdienen oder zumindest das erste Proton Pack der Welt zu testen. Mit geheimniskrämerischem Konto auch bei Facebook zu finden. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

10 Kommentare

  1. „dass ihr zu facebook.com weitergeleitet werdet. Klingt vertrauenswürdig“
    Nicht wirklich 😉

  2. Christian EM says:

    QR-Codes. Nutzt die eigentlich irgend jemand? ^^

  3. Sehr praktisch um mal schnell einen Text (URL oder was auch immer) zum Smartphone zu schicken. Und das ohne einen Internetdienst zu nutzen.Ein QR-Code Plugin im Browser ist goldwert 🙂

  4. ich verstehe eh nicht, warum die Möglichkeit QR Codes zu verarbeiten nicht schon immer in den StandardKameraApp inkludiert ist/war.
    Das könnte mMn den QR Codes zu mehr Popularität verhelfen.

  5. Während QR Code Apps einen kleinen QR Code ohne Probleme erkennen, ist dies mit der Apple Kamera zumindest bei meinem 5s eine Katastrophe. Der QR COde ist meist viel klein, als das er von der Kamera als QR Code wahrgenommen wird.
    Da greife ich lieber direkt zu einer anderen App.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.