Bug no leitor de QR Codes do iOS pode levar a golpes online

Por Felipe Demartini | 26 de Março de 2018 às 12h06
Tudo sobre

Apple

Saiba tudo sobre Apple

Ver mais

Uma falha no sistema de leitura de QR Codes do iOS 11 pode expor milhões de usuários de iPhones e iPads a golpes online. De acordo com a descoberta dos pesquisadores da InfoSec, empresa especializada em segurança da informação, a falha está na maneira com a qual o sistema operacional lida com as URLs do código, indicando um site aos usuários para autorização, mas, na verdade, levando o navegador a outro domínio.

O problema acontece quando o QR Code é criado em um formato específico, capaz de ocultar a informação real. Em uma prova de conceito liberada pela InfoSec, que pode ser vista abaixo, o sistema indica que o código levará os usuários ao Facebook, quando, na realidade, o destino é o próprio site da empresa de segurança.

Prova de conceito exibe falha no leitor de QR Code do iOS 11 (Imagem: InfoSec)

Usando esse mesmo método, afirmam os especialistas, hackers poderiam ocultar o download de um malware ou o acesso a um site comprometido por trás de uma URL real. Uma situação possível é o envio de um e-mail falso com ofertas de uma loja reconhecida – a descrição do link indicaria o site legítimo, de forma a não levantar suspeitas, enquanto o usuário é levado à página sob controle dos criminosos, onde pode ser levado a entregar dados pessoais ou bancários a eles.

Participe do nosso Grupo de Cupons e Descontos no Whatsapp e garanta sempre o menor preço em suas compras de produtos de tecnologia.

O recurso que pode ser explorado é uma das novidades do iOS 11, que não exige mais o uso de leitores de QR Code para que o usuário lide com esse tipo de tecnologia. Basta abrir a câmera do iPhone e apontá-la para o código para que a leitura aconteça, com os links sendo abertos diretamente no Safari.

Inércia da Apple

O pior de tudo é que a Apple estaria ciente da falha desde dezembro, mas não teria tomado atitude nenhuma para resolver a questão, o que levou à divulgação do problema por parte da InfoSec. Até o momento em que o problema foi revelado ao público, não existiam ocorrências de exploração maliciosa do bug, mas, levando em conta sua simplicidade, agora que ele é plenamente conhecido, isso não deve demorar a acontecer.

Até que a Maçã libere uma atualização para corrigir a questão, a orientação é que os usuários verifiquem as URLs abertas pelo Safari antes de acessarem os sites e, principalmente, inserirem informações de login ou dados bancários. Além disso, vale a pena, como sempre, desconfiar de links enviados por e-mail ou mensageiros instantâneos.

Fonte: InfoSec

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.