Depuis iOS 11, Apple propose un lecteur de codes QR intégré avec l’application Appareil photo. On vise un code QR et une notification s’affiche avec le nom du site. Il n’y a plus qu’à cliquer dessus pour l’ouvrir dans Safari. Problème : il est possible de tromper l’utilisateur.

InfoSec révèle qu’il est possible d’afficher le nom d’un site dans la notification et renvoyer l’utilisateur vers un autre site en réalité. Dans l’exemple ci-dessus, on voit iOS qui affiche « Ouvrez facebook.com dans Safari ». En cliquant dessus, la personne n’est pas redirigée sur le site du réseau social, mais sur le site d’InfoSec.

Quel est le problème ? Il se veut assez simple : le système d’Apple a du mal à reconnaître le nom du site si plusieurs caractères sont utilisés. Dans son exemple, InfoSec a utilisé l’adresse https://xxx\@facebook.com:443@infosec.rm-it.de/. Ici, iOS a dû estimer que le site était facebook.com étant donné qu’il s’agit du premier dans la liste ; or ce n’est pas le bon.

Cette faille peut poser un problème parce que certaines personnes pourraient l’utiliser pour renvoyer les utilisateurs vers des sites malveillants, comme du phishing pour récupérer leurs informations. Apple a en tout cas été prévenu en décembre 2017 par InfoSec et la faille n’a toujours pas été corrigée à ce jour. Il n’y a plus qu’à espérer qu’Apple se réveille maintenant qu’elle est publiée sur Internet par différents médias.