Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Kamera-App: Sicherheitslücke kann Nutzer zu Website mit Schadcode führen

Der seit iOS 11 in Apples Kamera-App integrierte QR-Scanner birgt einer Meldung zufolge eine gravierende Sicherheitslücke. Angreifer können Nutzer demnach mit einem manipulierten QR-Code auf Internetseiten locken, die Schadcode enthalten. Der Trick: Der tatsächliche Ziellink des jeweiligen Codes unterscheidet sich von der URL, die unter dem QR-Muster angezeigt wird.


QR-Code lockt Nutzer auf Schadcode-Website
Die von Infosec demonstrierte Lücke lässt sich vergleichsweise einfach ausnutzen. Infosec zeigt es anhand eines QR-Codes, dessen URL facebook.com anzeigt. Der wirkliche Link führt aber zu https://infosec.rm-it.de/. Um dies zu erreichen, musste lediglich folgende Zeichenfolge im QR-Element integriert werden: https://xxx\@facebook.com:443@infosec.rm-it.de/. Die Kamera-App in iOS zeigt die erste URL an, leitet den Nutzer jedoch zur zweiten weiter.


Quelle: Infosec

Zum Einsatz kam nicht die aktuelle Version von iOS, sondern 11.2.1. Doch das Problem besteht laut der Meldung nach wie vor. Das Sicherheitsleck sei Apple bereits am 23. Dezember 2017 gemeldet worden, ohne dass das Unternehmen in der Zwischenzeit etwas dagegen unternahm, so Infosec.
iPhone 16 Pro in Einzelteilen – Details zum Aufbau und zum neuen Modem
iPhone 16 Pro in Einzelteilen – Details zum Auf...
Eskalationskurs: ARM kündigt Qualcomm die Design-Lizenz
Eskalationskurs: ARM kündigt Qualcomm die Desig...
Apple TV+: Strategiewechsel?
Apple TV+: Strategiewechsel?
Test Cambridge P100
Test Cambridge P100
iMac M4 angekündigt
iMac M4 angekündigt
10 Jahre Yosemite-Design
10 Jahre Yosemite-Design
Leak: Der neue Mac mini M4 ist bei Amazon durchgesickert – samt Bildern und Spezifikation
Leak: Der neue Mac mini M4 ist bei Amazon durch...
Daten zum Mac mini M4: Aufpreise, Spezifikation und Vergleich mit Mac mini M2
Daten zum Mac mini M4: Aufpreise, Spezifikation...

Kommentare

jokermainz
jokermainz26.03.18 17:23
..: so eine gravierende Sicherheitslücke nach vier Monaten immer noch nicht geschlossen zu haben , ist gelinde gesagt mehr als ignorant !
Es gibt nichts, das man nicht lernen könnte ...
+1
WollesMac
WollesMac26.03.18 18:49
Ich scheine es nicht ganz zu verstehen. Der QR-Code ist quasi nur maschinenlesbar und enthält einen „manipulierten“ Link. Unter dem QR-Code steht in Klartext ein Link, der eigentlich im QR-Code sein sollte.

Das ist doch dann nur eine moderne Art von Spam, bei der Unbedarfte ungeprüft auf jeden Link klicken, wenn die Mail drum bittet. Wo ist also die -von Apple- zu verantwortende Sicherheitslücke?
+3
AidanTale26.03.18 18:54
Der QR Kode wird geparsed und nur verkürzt wiedergegeben. Damit sieht der Nutzer nicht wohin die Reise geht.
+3
Peter Longhorn26.03.18 19:21
WollesMac
Ich scheine es nicht ganz zu verstehen. Der QR-Code ist quasi nur maschinenlesbar und enthält einen „manipulierten“ Link. Unter dem QR-Code steht in Klartext ein Link, der eigentlich im QR-Code sein sollte.

Das ist doch dann nur eine moderne Art von Spam, bei der Unbedarfte ungeprüft auf jeden Link klicken, wenn die Mail drum bittet. Wo ist also die -von Apple- zu verantwortende Sicherheitslücke?

Nein, das ist etwas schlecht geschrieben im Artikel (wenn man ihn weiter liest wirds aber klar). Der falsche Link ist im QR-Code selbst versteckt und wird aufgerufen. Dem User wird allerdings ein anderer Link angezeigt, welcher nicht aufgerufen wird. Hat nichts mit dem QR-Code selbst zu tun, sondern mit der falschen Verarbeitung des Codes durch iOS.
+3
WollesMac
WollesMac26.03.18 20:36
ja ok - danke, dann scheint der Ausgangstext(-Auszug)
Der tatsächliche Ziellink des jeweiligen Codes unterscheidet sich von der URL, die unter dem QR-Muster angezeigt wird.
hier falsch bzw. mißverständlich zu sein.

Das (Eure Antworten) macht es für mich etwas verständlicher. Kaue ich nochmal drauf rum.
0
WollesMac
WollesMac26.03.18 20:40
obwohl ... diese "falschen Weiterleitungs-Links" hatten wir doch in den gängigen Browsern doch auch schon, wenn ich mich recht erinnere. Konnte das gefixt werden? Wie waren da denn die Verantwortlichkeiten.
0
becreart26.03.18 23:14
Das ist ja nichts anderes wie in HTML, kann man jedem Link einen anderen Namen geben, welcher auch eine Domain enthalten kann.

Ist ja normales Verhalten,m
-1
Wurzenberger
Wurzenberger27.03.18 07:18
-3
ilig
ilig27.03.18 12:27
…musste lediglich folgende Zeichenfolge im QR-Element integriert werden…
Die Kamera-App in iOS zeigt die erste URL an, leitet den Nutzer jedoch zur zweiten weiter.
Heißt das, dass die Kamera-App in iOS die integrierte Zechenfolge erkennen und den Link verweigern müsste. Kann das hier jemand für den Laien erklären?
0
Wurzenberger
Wurzenberger27.03.18 13:49
Die Kamera-App sollte deutlich machen zu welcher Adresse sie weiterleitet.
+1

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.