Vorsicht vor Phishing-Links: Sicherheitslücke in iOS QR-Code Reader noch nicht behoben
27.03.2018 08:21 Stefan

Vorsicht vor Phishing-Links: Sicherheitslücke in iOS QR-Code Reader noch nicht behoben

Wer QR-Codes die Links zu Webseiten enthalten mit der Kamera App seines iPhones oder iPads scannt muss vorsichtig sein: Eine seit Ende letzten Jahres bekannte Sicherheitslücke des QR-Code Readers wurde von Apple bis heute noch nicht geschlossen.

Darauf weist der Wordpress-Blogs infosec hin und demonstriert den Bug mit einem praktischen Beispiel. In einem QR-Code kann man eine Telefonnummer, Adresse und andere Informationen wie z. B. den Link zu einer Webseite ablegen. Durch einfaches Scannen mit der Kamera erhält man auf dem Display die gewünschten Daten angezeigt, bei einer URL erfolgt die Weiterleitung zu Safari. Bis zum Release von iOS 11 war zum Auslesen von QR-Codes die App eines Drittanbieters notwendig. Mit der aktuellen Version des mobilen Betriebssystems übernimmt diese Aufgabe die Kamera App des iPhones oder iPads.

So weit, so gut. In der Praxis funktioniert Apple's Lösung auch einwandfrei. Ende 2017 wurde allerdings ein Bug bekannt den Betrüger ausnutzen können um im QR-Code einen anderen Link als Ziel zu definieren und so Phishing ermöglicht. Scannt man einen Code erscheint auf dem Display eine Meldung in der das Ziel des Links angezeigt wird. Diese muss man bestätigen und man wird anschließend auf die jeweilige Webseite weitergeleitet. Die QR-Funktion in iOS prüft allerdings nicht, ob der Ziel-Link der mit Safari angesurft wird auch derjenige ist den der Nutzer bestätigen muss.

Bei infosec hat man einen solchen QR-Code gebastelt um den Fehler aufzuzeigen. Nach dem Scannen des Codes kommt die Meldung dass man auf Facebook weitergeleitet wird. Nach der Bestätigung öffnet sich Safari und man landet auf dem Blogartikel von infosec. Zwar hat man bei infosec den Code unter iOS 11.2.1 getestet, wir können den Bug allerdings mit einem aktuellen iOS 11.2.6 reproduzieren. Den QR-Code zum Testen findet ihr in unserer Galerie, ihr könnt das Experiment gefahrlos ausprobieren.

Bis der Bug mit einem iOS-Update gefixt wurde empfehlen wir euch bei gescannten Links unbedingt zu überprüfen ob ihr auf der richtigen Webseite gelandet seid, vor allem wenn es sich um Bankgeschäfte mit Paypal oder eurer Hausbank handelt.


Kommentieren

Noch keine Kommentare
Kommentieren
Affinity Photo
Foto und Video

21,99 € 17,99 €

Apple veröffentlicht iOS 12.2 mit vielen Neuerungen & Bugfixes
Apple veröffentlicht die finale Version von iOS 12.2 Anfang nächster Woche
iMessage: Apple sorgt mit iOS 12.2 für eine bessere Qualität bei den Sprachnachrichten