iOS從正式版發布到現在已經經曆了好幾個小(xiǎo)版本的更新,主要還是在BUG修複和增強穩定性上。單最近,有安全機構發現了iOS 11中(zhōng)一(yī)個新的可被利用的漏洞,容易讓用戶誤入惡意網站,那就是相機。
蘋果在iOS 11中(zhōng)增加了一(yī)個新的功能,用相機直接掃描二維碼就能夠直接跳轉應用或者用Safari浏覽器打開(kāi)對應的鏈接,這的确讓一(yī)些場景變得更加方便。但用戶在打開(kāi)鏈接之前并不能确認是否安全,甚至容易被誤導。
因爲使用相機掃描二維碼之後,如果是個鏈接,就會彈窗提醒跳轉的内容,例如将打開(kāi)某個鏈接。安全機構infosec嘗試修改了其顯示的目标名,換成一(yī)個比較可信任的目标(例如Facebook.com),但鏈接依然不變。
經過測試之後發現的确可行,如上圖的GIF所示,彈窗提示将跳轉“Facebook.com”,但點擊之後依然是原來的地址“infosec.rm-it.de”。有興趣的可以自行測試一(yī)下(xià)哦~
這種方式很容易被黑客利用,誘導用戶進入惡意網站。據稱去(qù)年年底就有人報告了這一(yī)BUG,但截至FreeBuf發稿之時這個問題依然存在。
在蘋果官方注意到這個問題之後,希望能夠加入一(yī)些鑒别虛假、惡意二維碼的功能,避免更多用戶上當受騙。
上一(yī)篇:央視曝光偷密碼的“萬能鑰匙”,9億人個人信息存風險
下(xià)一(yī)篇:邊緣計算+物(wù)聯網 可以激碰出哪些火(huǒ)花?