iOS 11 : une faille avec le lecteur de codes QR qui peut renvoyer un utilisateur sur un site malveillant
Depuis iOS 11, Apple propose un lecteur de codes QR intégré avec l’application Appareil photo. On vise un code QR et une notification s’affiche avec le nom du site. Il n’y a plus qu’à cliquer dessus pour l’ouvrir dans Safari. Problème : il est possible de tromper l’utilisateur.
InfoSec révèle qu’il est possible d’afficher le nom d’un site dans la notification et renvoyer l’utilisateur vers un autre site en réalité. Dans l’exemple ci-dessus, on voit iOS qui affiche « Ouvrez facebook.com dans Safari ». En cliquant dessus, la personne n’est pas redirigée sur le site du réseau social, mais sur le site d’InfoSec.
Quel est le problème ? Il se veut assez simple : le système d’Apple a du mal à reconnaître le nom du site si plusieurs caractères sont utilisés. Dans son exemple, InfoSec a utilisé l’adresse https://xxx\@facebook.com:443@infosec.rm-it.de/. Ici, iOS a dû estimer que le site était facebook.com étant donné qu’il s’agit du premier dans la liste ; or ce n’est pas le bon.
Cette faille peut poser un problème parce que certaines personnes pourraient l’utiliser pour renvoyer les utilisateurs vers des sites malveillants, comme du phishing pour récupérer leurs informations. Apple a en tout cas été prévenu en décembre 2017 par InfoSec et la faille n’a toujours pas été corrigée à ce jour. Il n’y a plus qu’à espérer qu’Apple se réveille maintenant qu’elle est publiée sur Internet par différents médias.
Encore une belle bourde d’iOS11 les mois passent et ça s’accumule 😱
Ste gros fake…
Et eh …
Vivement iOS 11.3 ou iOS 12
ou vivement dire adieu à apple et prendre un android 😂
Non mdr j’aime Apple j’aime pas Androïd.. dommage pour leur mise à jour raté mais bon ..
Mdrr t sérieux ?
En même temps j’ai du utiliser cette fonctionnalité 3 fois dans ma vie, dont 2 fois pour voir comment ça marchait 😂
Bon ils vont sans doute régler ça, ils sont fort ces développeurs, ils sont pas prêt d’être au chômage
Moi j’ai un iPhone SE iOS 11.2.6 et sa fonctionne nikel
Non, pas pour payer « sur Android » pour payer tout court. Alipay et WeChat Pay sont disponibles et fonctionne très bien sur toutes les plates-formes. Mais ça ne sert pas qu’à payer, à avoir un accès rapide à un site sans avoir à taper l’URL, ou encore à utiliser des vélo partagés (même si en France on en a pas car on est des sauvages)
@Ellia
Merci d avoir bien répondu au petit nazillon troller qui se fait passer pour moi
@ lehulk, c’est facile de se rétracter quand tu trompes. Un QR Code ne sert pas à payer. Point barre.
Tantôt tu défends les arguments de trump, tantôt tu craches sur les Chinois et les minorités. Là aussi il faut assumer tes tendances de nazillon.
Oops … ne sert pas qu’a payer
tantot tu comprends rien et tantot …..ben tu comprends rien non plus n est ce pas le faux lehulk ?
On t’explique gentiment que c’est le « nouveau » code barre. Ca fait bien des années qu’il est utilisé même chez Apple. Comme les emojis qui représentent les couleurs de peau des habitants de tous les continents (que tu viens juste de découvrir). 🤙🏻🤙🏼🤙🤙🏽🤙🏾🤙🏿