iOSのカメラでURLを解析する仕組みに問題があり、画面に表示されているURLとは違うWebサイトにジャンプさせることができてしまうという。
AppleのiOSのカメラでQRコードを読み取る機能にバグが見つかったとして、セキュリティ研究者がデモ映像などを公開した。不正なQRコードを読み取らせ、表示されているのとは違うWebサイトに誘導される可能性を指摘している。
この問題は、セキュリティ情報サイトのinfosecが3月24日のブログで伝えた。QRコードの読み取りはiOS 11から加わった機能で、iPhoneやiPadのカメラをかざすと、自動的にQRコードがスキャンされ、WebサイトのURLが表示される。この画面をタップすると、Safariでそのサイトを閲覧できる。
ところがinfosecが調べた結果、iOSのカメラでURLを解析する仕組みに問題があり、QRコードに不正なURLを仕込むことで、画面に表示されているURLとは違うWebサイトにジャンプさせることができてしまうことが分かったという。
infosecが掲載したデモ映像では、iPhoneのカメラでQRコードを読み取ると「facebook.com」というURLが表示されるが、これをタップすると、Safariで「infosec.rm-it.de」というWebサイトが開く。
infosecはiOS 11.2.1でこの問題を確認した。Appleには2017年12月23日に報告したが、2018年3月24日現在、まだ修正されていないと伝えている。
Copyright © ITmedia, Inc. All Rights Reserved.