Bug no leitor de QR Codes do iOS pode levar a golpes online

Por Felipe Demartini | 26 de Março de 2018 às 12h06
TUDO SOBRE

Apple

Uma falha no sistema de leitura de QR Codes do iOS 11 pode expor milhões de usuários de iPhones e iPads a golpes online. De acordo com a descoberta dos pesquisadores da InfoSec, empresa especializada em segurança da informação, a falha está na maneira com a qual o sistema operacional lida com as URLs do código, indicando um site aos usuários para autorização, mas, na verdade, levando o navegador a outro domínio.

O problema acontece quando o QR Code é criado em um formato específico, capaz de ocultar a informação real. Em uma prova de conceito liberada pela InfoSec, que pode ser vista abaixo, o sistema indica que o código levará os usuários ao Facebook, quando, na realidade, o destino é o próprio site da empresa de segurança.

Prova de conceito exibe falha no leitor de QR Code do iOS 11 (Imagem: InfoSec)

Usando esse mesmo método, afirmam os especialistas, hackers poderiam ocultar o download de um malware ou o acesso a um site comprometido por trás de uma URL real. Uma situação possível é o envio de um e-mail falso com ofertas de uma loja reconhecida – a descrição do link indicaria o site legítimo, de forma a não levantar suspeitas, enquanto o usuário é levado à página sob controle dos criminosos, onde pode ser levado a entregar dados pessoais ou bancários a eles.

Participe do nosso GRUPO CANALTECH DE DESCONTOS do Whatsapp e do Facebook e garanta sempre o menor preço em suas compras de produtos de tecnologia.

O recurso que pode ser explorado é uma das novidades do iOS 11, que não exige mais o uso de leitores de QR Code para que o usuário lide com esse tipo de tecnologia. Basta abrir a câmera do iPhone e apontá-la para o código para que a leitura aconteça, com os links sendo abertos diretamente no Safari.

Inércia da Apple

O pior de tudo é que a Apple estaria ciente da falha desde dezembro, mas não teria tomado atitude nenhuma para resolver a questão, o que levou à divulgação do problema por parte da InfoSec. Até o momento em que o problema foi revelado ao público, não existiam ocorrências de exploração maliciosa do bug, mas, levando em conta sua simplicidade, agora que ele é plenamente conhecido, isso não deve demorar a acontecer.

Até que a Maçã libere uma atualização para corrigir a questão, a orientação é que os usuários verifiquem as URLs abertas pelo Safari antes de acessarem os sites e, principalmente, inserirem informações de login ou dados bancários. Além disso, vale a pena, como sempre, desconfiar de links enviados por e-mail ou mensageiros instantâneos.

Fonte: InfoSec

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.