Vorsicht vor Phishing-Links: Sicherheitslücke in iOS QR-Code Reader noch nicht behoben
27.03.2018 08:21 Stefan

Vorsicht vor Phishing-Links: Sicherheitslücke in iOS QR-Code Reader noch nicht behoben

Wer QR-Codes die Links zu Webseiten enthalten mit der Kamera App seines iPhones oder iPads scannt muss vorsichtig sein: Eine seit Ende letzten Jahres bekannte Sicherheitslücke des QR-Code Readers wurde von Apple bis heute noch nicht geschlossen.

Darauf weist der Wordpress-Blogs infosec hin und demonstriert den Bug mit einem praktischen Beispiel. In einem QR-Code kann man eine Telefonnummer, Adresse und andere Informationen wie z. B. den Link zu einer Webseite ablegen. Durch einfaches Scannen mit der Kamera erhält man auf dem Display die gewünschten Daten angezeigt, bei einer URL erfolgt die Weiterleitung zu Safari. Bis zum Release von iOS 11 war zum Auslesen von QR-Codes die App eines Drittanbieters notwendig. Mit der aktuellen Version des mobilen Betriebssystems übernimmt diese Aufgabe die Kamera App des iPhones oder iPads.

So weit, so gut. In der Praxis funktioniert Apple's Lösung auch einwandfrei. Ende 2017 wurde allerdings ein Bug bekannt den Betrüger ausnutzen können um im QR-Code einen anderen Link als Ziel zu definieren und so Phishing ermöglicht. Scannt man einen Code erscheint auf dem Display eine Meldung in der das Ziel des Links angezeigt wird. Diese muss man bestätigen und man wird anschließend auf die jeweilige Webseite weitergeleitet. Die QR-Funktion in iOS prüft allerdings nicht, ob der Ziel-Link der mit Safari angesurft wird auch derjenige ist den der Nutzer bestätigen muss.

Bei infosec hat man einen solchen QR-Code gebastelt um den Fehler aufzuzeigen. Nach dem Scannen des Codes kommt die Meldung dass man auf Facebook weitergeleitet wird. Nach der Bestätigung öffnet sich Safari und man landet auf dem Blogartikel von infosec. Zwar hat man bei infosec den Code unter iOS 11.2.1 getestet, wir können den Bug allerdings mit einem aktuellen iOS 11.2.6 reproduzieren. Den QR-Code zum Testen findet ihr in unserer Galerie, ihr könnt das Experiment gefahrlos ausprobieren.

Bis der Bug mit einem iOS-Update gefixt wurde empfehlen wir euch bei gescannten Links unbedingt zu überprüfen ob ihr auf der richtigen Webseite gelandet seid, vor allem wenn es sich um Bankgeschäfte mit Paypal oder eurer Hausbank handelt.


Kommentieren

Noch keine Kommentare
Kommentieren

Weitere News zum Thema

Apple veröffentlicht iOS 12.1.3 developer beta 4

Apple hat gestern Abend die vierte Beta-Version von iOS 12.1.3 veröffentlicht. Ein öffentliches Update für alle dürfte demnach in wenigen Tagen folgen.

weiter lesen »
Mehr als 75 Prozent: Apple bestätigt Verbreitungsgrad von iOS 12

Anfang Dezember knackte iOS 12 beim Verbreitungsgrad die 70-Prozent-Marke, jetzt hat Apple offiziell bestätigt: iOS 12 ist aktuell auf mehr als 75 Prozent aller Apple-Geräte installiert.

weiter lesen »
Erste Tests: Apple ist mit iOS 13 schon im Netz unterwegs

Apple hat die streng abgeschotteten internen Tests mit iOS 13 wohl beendet und war zum Jahresende mit entsprechenden Geräten im Netz unterwegs. Mit dem neuen iOS wurde u. a. die Webseite von MacRumors besucht.

weiter lesen »