Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Kamera-App: Sicherheitslücke kann Nutzer zu Website mit Schadcode führen

Der seit iOS 11 in Apples Kamera-App integrierte QR-Scanner birgt einer Meldung zufolge eine gravierende Sicherheitslücke. Angreifer können Nutzer demnach mit einem manipulierten QR-Code auf Internetseiten locken, die Schadcode enthalten. Der Trick: Der tatsächliche Ziellink des jeweiligen Codes unterscheidet sich von der URL, die unter dem QR-Muster angezeigt wird.


QR-Code lockt Nutzer auf Schadcode-Website
Die von Infosec demonstrierte Lücke lässt sich vergleichsweise einfach ausnutzen. Infosec zeigt es anhand eines QR-Codes, dessen URL facebook.com anzeigt. Der wirkliche Link führt aber zu https://infosec.rm-it.de/. Um dies zu erreichen, musste lediglich folgende Zeichenfolge im QR-Element integriert werden: https://xxx\@facebook.com:443@infosec.rm-it.de/. Die Kamera-App in iOS zeigt die erste URL an, leitet den Nutzer jedoch zur zweiten weiter.


Quelle: Infosec

Zum Einsatz kam nicht die aktuelle Version von iOS, sondern 11.2.1. Doch das Problem besteht laut der Meldung nach wie vor. Das Sicherheitsleck sei Apple bereits am 23. Dezember 2017 gemeldet worden, ohne dass das Unternehmen in der Zwischenzeit etwas dagegen unternahm, so Infosec.
macOS 14.4.1 erschienen
macOS 14.4.1 erschienen
"8 GByte sind genug" – Apple verteidigt RAM-Ausstattung des MacBook Air
"8 GByte sind genug" – Apple verteidigt RAM-Aus...
AirPower lädt Apple Watch: Vorgang erstmals in Video festgehalten
AirPower lädt Apple Watch: Vorgang erstmals in ...
Warum Apple den GameBoy-Emulator iGBA direkt wieder aus dem Store warf
Warum Apple den GameBoy-Emulator iGBA direkt wi...
iPhone 16 Pro: Angebliche Farbpalette bekannt geworden, zwei neue Optionen
iPhone 16 Pro: Angebliche Farbpalette bekannt g...
Vision Pro: Tipps gegen Schwindel/Übelkeit
Vision Pro: Tipps gegen Schwindel/Übelkeit
M4-Roadmap
M4-Roadmap
Test Cambridge Audio CXN100
Test Cambridge Audio CXN100

Kommentare

jokermainz
jokermainz26.03.18 17:23
..: so eine gravierende Sicherheitslücke nach vier Monaten immer noch nicht geschlossen zu haben , ist gelinde gesagt mehr als ignorant !
Es gibt nichts, das man nicht lernen könnte ...
+1
WollesMac
WollesMac26.03.18 18:49
Ich scheine es nicht ganz zu verstehen. Der QR-Code ist quasi nur maschinenlesbar und enthält einen „manipulierten“ Link. Unter dem QR-Code steht in Klartext ein Link, der eigentlich im QR-Code sein sollte.

Das ist doch dann nur eine moderne Art von Spam, bei der Unbedarfte ungeprüft auf jeden Link klicken, wenn die Mail drum bittet. Wo ist also die -von Apple- zu verantwortende Sicherheitslücke?
+3
AidanTale26.03.18 18:54
Der QR Kode wird geparsed und nur verkürzt wiedergegeben. Damit sieht der Nutzer nicht wohin die Reise geht.
+3
Peter Longhorn26.03.18 19:21
WollesMac
Ich scheine es nicht ganz zu verstehen. Der QR-Code ist quasi nur maschinenlesbar und enthält einen „manipulierten“ Link. Unter dem QR-Code steht in Klartext ein Link, der eigentlich im QR-Code sein sollte.

Das ist doch dann nur eine moderne Art von Spam, bei der Unbedarfte ungeprüft auf jeden Link klicken, wenn die Mail drum bittet. Wo ist also die -von Apple- zu verantwortende Sicherheitslücke?

Nein, das ist etwas schlecht geschrieben im Artikel (wenn man ihn weiter liest wirds aber klar). Der falsche Link ist im QR-Code selbst versteckt und wird aufgerufen. Dem User wird allerdings ein anderer Link angezeigt, welcher nicht aufgerufen wird. Hat nichts mit dem QR-Code selbst zu tun, sondern mit der falschen Verarbeitung des Codes durch iOS.
+3
WollesMac
WollesMac26.03.18 20:36
ja ok - danke, dann scheint der Ausgangstext(-Auszug)
Der tatsächliche Ziellink des jeweiligen Codes unterscheidet sich von der URL, die unter dem QR-Muster angezeigt wird.
hier falsch bzw. mißverständlich zu sein.

Das (Eure Antworten) macht es für mich etwas verständlicher. Kaue ich nochmal drauf rum.
0
WollesMac
WollesMac26.03.18 20:40
obwohl ... diese "falschen Weiterleitungs-Links" hatten wir doch in den gängigen Browsern doch auch schon, wenn ich mich recht erinnere. Konnte das gefixt werden? Wie waren da denn die Verantwortlichkeiten.
0
becreart26.03.18 23:14
Das ist ja nichts anderes wie in HTML, kann man jedem Link einen anderen Namen geben, welcher auch eine Domain enthalten kann.

Ist ja normales Verhalten,m
-1
Wurzenberger
Wurzenberger27.03.18 07:18
-3
ilig
ilig27.03.18 12:27
…musste lediglich folgende Zeichenfolge im QR-Element integriert werden…
Die Kamera-App in iOS zeigt die erste URL an, leitet den Nutzer jedoch zur zweiten weiter.
Heißt das, dass die Kamera-App in iOS die integrierte Zechenfolge erkennen und den Link verweigern müsste. Kann das hier jemand für den Laien erklären?
0
Wurzenberger
Wurzenberger27.03.18 13:49
Die Kamera-App sollte deutlich machen zu welcher Adresse sie weiterleitet.
+1

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.