Vorsicht vor Phishing-Links: Sicherheitslücke in iOS QR-Code Reader noch nicht behoben
Wer QR-Codes die Links zu Webseiten enthalten mit der Kamera App seines iPhones oder iPads scannt muss vorsichtig sein: Eine seit Ende letzten Jahres bekannte Sicherheitslücke des QR-Code Readers wurde von Apple bis heute noch nicht geschlossen.
Darauf weist der Wordpress-Blogs infosec hin und demonstriert den Bug mit einem praktischen Beispiel. In einem QR-Code kann man eine Telefonnummer, Adresse und andere Informationen wie z. B. den Link zu einer Webseite ablegen. Durch einfaches Scannen mit der Kamera erhält man auf dem Display die gewünschten Daten angezeigt, bei einer URL erfolgt die Weiterleitung zu Safari. Bis zum Release von iOS 11 war zum Auslesen von QR-Codes die App eines Drittanbieters notwendig. Mit der aktuellen Version des mobilen Betriebssystems übernimmt diese Aufgabe die Kamera App des iPhones oder iPads.
So weit, so gut. In der Praxis funktioniert Apple's Lösung auch einwandfrei. Ende 2017 wurde allerdings ein Bug bekannt den Betrüger ausnutzen können um im QR-Code einen anderen Link als Ziel zu definieren und so Phishing ermöglicht. Scannt man einen Code erscheint auf dem Display eine Meldung in der das Ziel des Links angezeigt wird. Diese muss man bestätigen und man wird anschließend auf die jeweilige Webseite weitergeleitet. Die QR-Funktion in iOS prüft allerdings nicht, ob der Ziel-Link der mit Safari angesurft wird auch derjenige ist den der Nutzer bestätigen muss.
Bei infosec hat man einen solchen QR-Code gebastelt um den Fehler aufzuzeigen. Nach dem Scannen des Codes kommt die Meldung dass man auf Facebook weitergeleitet wird. Nach der Bestätigung öffnet sich Safari und man landet auf dem Blogartikel von infosec. Zwar hat man bei infosec den Code unter iOS 11.2.1 getestet, wir können den Bug allerdings mit einem aktuellen iOS 11.2.6 reproduzieren. Den QR-Code zum Testen findet ihr in unserer Galerie, ihr könnt das Experiment gefahrlos ausprobieren.
Bis der Bug mit einem iOS-Update gefixt wurde empfehlen wir euch bei gescannten Links unbedingt zu überprüfen ob ihr auf der richtigen Webseite gelandet seid, vor allem wenn es sich um Bankgeschäfte mit Paypal oder eurer Hausbank handelt.
Das könnte dich auch interessieren
Weitere Geschichten aus iOS.
Apple plant massiven Produktstau für den Herbst 2026
Laut Lieferkettenberichten bringt Apple im kommenden Herbst mehr als fünfzehn neue Geräte auf den Markt. Das Spektrum reicht vom ersten faltbaren iPhone bis hin zu vernetzten Smart-Home-Lösungen.
Apple preist Macs und iPads teurer – Analysten bleiben ruhig
Apple hat am 25. Juni 2026 Preiserhöhungen für Teile des Mac- und iPad-Sortiments bekanntgegeben. Die Aktie reagierte mit einem deutlichen Kursverlust von 4,8 Prozent, doch Analysten von Evercore ISI und Wedbush sehen die Maßnahme als notwendigen Schutz der Gewinnmarge.
Apple erhöht deutlich die Preise für fast alle Hardware-Produkte
Apple hat die Preise für nahezu das gesamte Hardwaresortiment angehoben, mit einer bemerkenswerten Ausnahme: Das aktuelle iPhone bleibt verschont. Die Mehrkosten reichen von 30 bis 500 Euro.
Apple hat Entwicklung des iPhone Ultra 2 freigegeben
Apple hat die Projektentwicklung für das zweite klappbare iPhone offiziell freigegeben. Der Marktstart ist für Herbst 2027 geplant, während die Air-Serie noch vom Erfolg des Vorgängers abhängt.
iPhone 18 Pro: Analysten sehen nur moderate Preiserhöhung
Tim Cook hatte vor deutlichen Preissprüngen gewarnt, doch J.P. Morgan dämpft die Ängste: Dank eines eigenen Modems bleibt der Aufschlag für das iPhone 18 Pro moderat.
Bob Iger bestätigt: Apple und Disney diskutierten einst eine Fusion
Ehemaliger Disney-CEO Bob Iger räumt in einem Financial Times-Portrait ein, dass sein Unternehmen einst über eine Zusammenlegung mit Apple verhandelte. Der Deal scheiterte am mangelnden Interesse aus Cupertino.
Kommentare
Sei der Erste, der hier kommentiert.
Du musst angemeldet sein, um zu kommentieren.