Еден од новитетите на iOS кој помина помалку незабележително е автоматското скенирање и интерпретација на QR кодовите со камерата. Дел од апликациите кои беа специјализирани за скенирање на QR кодови се непотребни. Ова не е изненадување со оглед на тоа дека постои тенденција за интегрирање на дел од функционалностите на апликациите во оперативните системи. За жал, QR скенерот доаѓа со баг…
Пропустот овозможува креирање на QR код кој води до url, наместо да води до страницата која ja покажува, води до друга веб страница, јави Infosec.rm-it.de. Успешно е креиран код кој покажува една страница, во случајот Facebook, а води кон друга (Infosec.rm). Проблемот е што url-то „скриено“ во кодот е „https://xxx\@facebook.com:[email protected]/“. Читачот го толкува ова како корисник со име „ххх“ и адреса „facebook.com:443“. Сепак, кога овој код ќе стигне до Safari, прелистувачот го толкува различно, го зема целиот прв дел „xxx\@facebook.com“ како име на корисник со лозинка „443“, кој треба да биде однесен на „infosec.rm-it.de“.
Засега пропустот е отворен, но нема вести за злоупотреба. Секако прилично лесно е да се замисли како би можел да се искористи за фишинг и за прибирање на податоци од невнимателни корисници. Доволно е корисникот да биде однесен на страница која е копија на онаа на која сака да пристапи и да не забележи кое е url-то на кое пристапил.
Стани премиум член и доби пристап до сите содржини, специјален попуст на над 2.200 производи во ИТ маркет, верификуван профил и можност за огласување на ИТ Огласник. Плус ќе го поддржиш медиумот кој го градиме цели 16 години!
Доколку веќе имаш премиум членство, најави се тука.
