iOS11でQRコードを読み取ると、通知と異なるURLにジャンプするバグがある、とセキュリティ情報サイトが指摘しています。悪用されると、Facebookなどのサイトを装った、悪意のあるWebサイトにアクセスしてしまう危険性があります。

QRコード読み取り結果と違うURLに飛ばされる！？

iOS11では、iPhoneやiPadのカメラをQRコードにかざすと、自動でURLなどを読み取る機能が追加されました。
 
セキュリティ情報サイトinfosecが、iOS11のバグのために、この機能が悪用されて悪意あるWebサイトへの誘導に使われる可能性がある、と指摘しています。
 
以下のGIFアニメは、QRコードにiPhoneのカメラをかざすと、「facebook.comを開く」とメッセージが表示されますが、実際にはinfosecのサイトにジャンプさせられる、という例です。
 

 
筆者が、本稿執筆時点で最新版のiOS11.2.6で試してみたところ、同様の現象が確認できました。

URLの一部を誤認識するバグ

このバグは、iOS11がQRコードからURLを認識する方式に不具合があるためだ、とinfosecは指摘しています。
 
具体的には、GIFアニメで読み込まれているQRコードの内容は
「 https://xxx\@facebook.com:[email protected]/ 」
という形式になっています。
 
この「xxx\」がユーザーネーム、「443」がパスワードとして誤認識されることで、通知には「facebook.comに接続」と表示されているのに「infosec.rm-it.de/」に接続してしまう、という現象が発生します。

バグの修正までQRコード読み取りは控えるのが安全

infosecは、このバグについてAppleに2017年12月23日に報告しているものの、3月24日の時点ではバグは修復されていないそうです。
 
QRコードの読み取りはiOS11で実現した、様々な活用法のある便利な機能だけに、早期の修正が待たれます。
 
今後、このバグが悪用される可能性があるため、バグが修正されるまで、信頼できるもの以外、QRコードの読み取りはできるだけ控えるのが安全でしょう。

Siriがメッセージを読み上げるバグは近日修正予定

先日報じられた、Siriがロックされた端末の非表示メッセージを読み上げるバグについて、Appleは近日中のソフトウェアアップデートで修正すると約束しています。

 
 
Source:infosec via 9to5Mac
Photo:9to5Mac
(hato)