Apple es una firma que, a lo largo de los últimos meses, o años incluso, está viendo cómo su sistema operativo está siendo víctima de ataques y vulnerabilidades casi impensables en el pasado pero que, a día de hoy, se están convirtiendo en demasiado habituales.
Pues bien, en estas líneas vamos a hablaros de una reciente vulnerabilidad que se ha descubierto en el lector de códigos QR que por defecto viene integrado en la aplicación de la cámara de iOS, fallo de seguridad que podría permitir que los usuarios sean dirigidos a un sitio web malicioso, todo ello sin su conocimiento.
Hay que tener en cuenta que a partir de la versión 11 de iOS de Apple, ya solo tenemos que apuntar con nuestro iPhone a un código QR en concreto haciendo uso de la aplicación de la cámara estándar, por lo que esta leerá y actuará sobre ese código QR. En el caso de se encuentre con la URL de sitio web incrustada, iOS nos muestra la dirección del enlace y nos pide que pulsemos en la pantalla para confirmar que deseamos visitar ese portal al que el QR hace referencia
Sin embargo, el fallo de seguridad recientemente detectado, hace que sea posible que en realidad no estemos visitando el enlace que se muestra en el mencionado código. Decimos esto debido a que la firma Infosec se ha dado cuenta de que es fácil engañar al lector QR, de tal manera que se muestra una URL que tenemos que aceptar, pero en realidad visitamos una diferente.
Descubren una importante vulnerabilidad en el lector QR de iOS 11
De este modo y para poder explotar esta vulnerabilidad de la más reciente versión del sistema iOS de la firma de la manzana, todo lo que se necesita es incrustar una URL en el código QR a leer en un determinado formato que te exponemos a continuación:
“https: // xxx\@URLMUESTRA:443@URLREDIRIGIDA/”
De este modo cuando escaneamos ese QR «malintencionado», iOS muestra en la pantalla del usuario afectado la primera URL, pero si aceptamos visitarla, nos va a llevar a la segunda. Por lo visto este fallo detectado ya se ha reportado hace unas semanas, en concreto el pasado día 23 de diciembre de 2017, sin embargo la firma afectada por el momento no lo ha corregido.
Por tanto, si hacemos uso de este lector de códigos QR de iOS, tendremos que estar muy atentos para asegurarnos de que la URL a la que nos redirige, es realmente la que queremos visitar para así evitarnos disgustos.
