Apples QR-Code-Reader in iOS 11 lässt sich täuschen

Mit iOS 11 hat Apple die iPhone-Kamera um die Möglichkeit erweitert, direkt QR-Codes zu erkennen. Die zuvor für diesen Zweck obligatorischen separaten Anwendungen sind damit eigentlich hinfällig. Allerdings lässt sich Apples Kamera-Implementierung im Gegensatz zu mehreren von uns getesteten speziell für diesen Zweck entwickelten Einzel-Apps täuschen. Ein Fehler, der von Internetkriminellen ausgenutzt werden könnte.

Roman Mueller dokumentiert das Problem in seinem Blog. Dem IT-Berater gelingt es mithilfe eines speziell erstellten QR-Codes, die Kamera-App unter iOS 11 zur Anzeige einer angeblich mit dem Code verknüpften harmlosen Internetadresse zu bringen, während der tatsächlich hinterlegte Link ein beliebig anderer sei könnte. Auf diese Weise könnten beispielsweise Benutzerdaten abgegriffen werden, nachdem nach Anzeige eines vertrauenswürdig erscheinenden Links auf eine Phishing-Seite weitergeleitet wird.

Seit drei Monaten bekannt

Mueller hat das Problem bereits vor drei Monaten an Apple gemeldet, korrigiert wurde der Fehler bislang allerdings nicht. Wir haben alternativ zur Kamera mehrere QR-Code-Apps von Drittentwicklern diesbezüglich getestet, dabei ist kein Weiterleitung erfolgt. So wie es scheint, interpretiert nur Apples QR-Code-Komponente den Link falsch und sieht in dem Bestandteil vor dem @-Zeichen den eigentlichen Link, statt diesen dem Web-Standard entsprechend als eine Kombi aus vermeintlichem Benutzername und Passwort zu erkennen und den URL für die Weiterleitung hinter dem @-Zeichen zu suchen.

https://xxx@facebook.com:443@infosec.rm-it.de/

Danke Jonas