Infosecは、iPhoneのQRコードリーダーに脆弱性があり、悪意のあるウェブサイトにリダイレクトされる可能性があると報告しました。QRコードリーダーはiPhoneのカメラに内蔵されており、iOS 11の一部として導入されました。

QRコードの脆弱性

カメラアプリを開き、iPhoneをQRコードに向けると、コードが実行されます。例えば、QRコードとして埋め込まれたウェブサイトのアドレスは、Safariで自動的に開きます。

しかし、  Infosecは iPhoneのQRコードリーダーを騙して、あるURLを表示しながら実際には別のURLを開くように仕向けるのは簡単だと発見しました。例えば、QRコードではSafariでfacebook.comを開くかどうかを尋ねられますが、スキャンするとInfosecのウェブサイトに誘導されます。

特定の形式で URL を埋め込む必要があります。

https://www\@facebook.com:[email protected]/

Infosecは12月23日にAppleに脆弱性を報告したと発表しました。しかし、通常の90日間の猶予期間を経た現在も、Appleは未だにこのバグを修正していないとウェブサイトは伝えています。iOS 11.3、あるいはそれ以降のバージョンで修正されるかどうかは、まだ不明です。