|
利用这个漏洞,能让苹果iOS询问你是不是要打开网址A,但确认后却打开了网址B。在 苹果iOS 11 中,有一个新功能非常实用,那就是用相机直接扫描二维码,这样就不用打开不一样使用再去扫对应的二维码了。但是今天却有开发者发现,苹果iOS 11 的这一功能存在漏洞,可能会导致用户在不知情的情况下被引导至恶意网站。 具体说来,在 苹果iOS 11 上,运用系统自带的相机扫描二维码,就能够自动指向相应的 App 和网页,如果扫描的是一个嵌入式网站链接,那么苹果iOS 就会显示出网页链接,然后让您确定是否要访问它。但是现在,Infosec 发现这个提示存在一个漏洞。
苹果iOS 11相机漏洞扫描二维码可能会被钓鱼 对于这个 bug,Infosec 表示非常好利用,只要你把二维码包含的网址设置成 https://XXX\@你想伪装成的网址:443@你的原网址/就行了。比如https://XXX\@facebook.com:443@infosec.rm-it.de/,就会让 苹果iOS 显示 facebook.com,但是带你去第二个网址。 该网站表示,他们在去年12月23日像苹果报告了这一漏洞,但直到现在都还没搞定,因为已经过了90天的时限(业界普遍认为发现漏洞的一方要给90天时间让厂商修复漏洞),所以他们选择公开这一漏洞,希望苹果能够早日搞定。 |
