iOS 11’deki QR kodu hatası kullanıcıları riske atıyor

iOS 11’in kamera uygulamasında tespit edilen bir hata, kullanıcıları farkında olmadan şüpheli web sitelerine yönlendirebiliyor. iOS 11’in son sürümünün bulunduğu iPhone, iPad ve iPod touch cihazlarda bulunan kamera uygulamasında başka bir uygulama yüklemeye gerek kalmadan QR kodlarını tanıyabilmesini sağlayan bir özellik bulunuyor. iOS 11’le birlikte sunulmaya başlanan bu özellik kullanıcıların ekstra bir uygulamaya ihtiyaç duymalarını ortadan kaldırmayı amaçlıyor.

iPhone kamerasını QR kod içeren bir yere doğru tutuğunuzda yerleşik barkod okuyucu QR kodu okuyor ve bilgileri gösteriyor. Kodda bir Web adresi bulunuyorsa bu adresi gösteren bir bağlantı gözüküyor. Bu bağlantıya dokunduğunuzda Safari adresi açıyor.

Ancak Roman Mueller’in keşfettiği kamera uygulamasındaki bir hatadan dolayı görünen adres ve dokunulduğunda gidilen adres farklı olabiliyor. Yani dokunduğunuz adresin güvenli bir yer olduğunu düşünürken çok farklı bir Web sitesine gidebiliyorsunuz. Mueller’e göre iOS kamera uygulamasındaki QR kodu okuyucunun URL ayrıştırıcısı Web adresindeki anamakine adını doğru bir şekilde algılayamıyor. Bu da kötü niyetli kişilerin bildirimde görünen Web adresini manipüle edebilmelerini sağlıyor.

Mueller’in hazırladığı aşağıdaki QR kodunu iOS kamera ile okuttuğunuzda bildirim alanında facebook.com çıkıyor, ancak asıl Web adresi ise https://xxx\@facebook.com:443@infosec.rm-it.de/ şeklinde. Bildirimdeki web adresine dokunduğunuzda ise https://infosec.rm-it.de/ adresi açılıyor.