Камерата во iOS има баг со парсирање на URL

Дејан Соколоски

во Свет

Еден од новитетите на iOS кој помина помалку незабележително е автоматското скенирање и интерпретација на QR кодовите со камерата. Дел од апликациите кои беа специјализирани за скенирање на QR кодови се непотребни. Ова не е изненадување со оглед на тоа дека постои тенденција за интегрирање на дел од функционалностите на апликациите во оперативните системи. За жал, QR скенерот доаѓа со баг…

Пропустот овозможува креирање на QR код кој води до url, наместо да води до страницата која ja покажува, води до друга веб страница, јави Infosec.rm-it.de. Успешно е креиран код кој покажува една страница, во случајот Facebook, а води кон друга (Infosec.rm). Проблемот е што url-то „скриено“ во кодот е „https://xxx\@facebook.com:[email protected]/“. Читачот го толкува ова како корисник со име „ххх“ и адреса „facebook.com:443“. Сепак, кога овој код ќе стигне до Safari, прелистувачот го толкува различно, го зема целиот прв дел „xxx\@facebook.com“ како име на корисник со лозинка „443“, кој треба да биде однесен на „infosec.rm-it.de“.

Засега пропустот е отворен, но нема вести за злоупотреба. Секако прилично лесно е да се замисли како би можел да се искористи за фишинг и за прибирање на податоци од невнимателни корисници. Доволно е корисникот да биде однесен на страница која е копија на онаа на која сака да пристапи и да не забележи кое е url-то на кое пристапил.

Коментирај

Вашата адреса за е-пошта нема да биде објавена.

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Слични статии