Saturday, March 31, 2018

Bug Kode QR Apple iOS 11 Bisa Memimpin Anda ke Situs Berbahaya

Bug Kode QR  Apple iOS 11

rudypratama.com - Kerentanan baru telah diungkapkan di Aplikasi Kamera iOS yang dapat dieksploitasi untuk mengalihkan pengguna ke situs web berbahaya tanpa sepengetahuan mereka. Kerentanan mempengaruhi sistem operasi Apple iOS 11 terbaru untuk perangkat iPhone, iPad, dan iPod touch yang  berada di pembaca kode QR bawaan. Dengan iOS 11, Apple memperkenalkan fitur baru yang memberikan kemampuan kepada pengguna untuk secara otomatis membaca kode QR menggunakan aplikasi kamera asli iPhone mereka tanpa memerlukan aplikasi pembaca kode QR pihak ketiga.

 Anda perlu membuka aplikasi Kamera di iPhone atau iPad dan mengarahkan perangkat ke kode QR. Jika kode berisi URL apa pun itu, akan memberikan Anda pemberitahuan dengan alamat tautan, meminta Anda untuk mengetuk untuk mengunjungi di peramban Safari. Namun, hati-hati Anda mungkin tidak mengunjungi URL yang ditampilkan kepada Anda, kata peneliti keamanan Roman Mueller.

Menurut Mueller, parser URL pembaca kode QR bawaan untuk aplikasi kamera iOS gagal mendeteksi nama host di URL, yang memungkinkan penyerang memanipulasi URL yang ditampilkan dalam pemberitahuan, mengelabui pengguna untuk mengunjungi situs web berbahaya.

Untuk demo, peneliti membuat kode QR dengan URL berikut:

https://xxx\@facebook.com:443@infosec.rm-it.de/

Jika Anda memindainya dengan aplikasi kamera iOS, itu akan menampilkan pemberitahuan berikut:

Buka "facebook.com" di Safari

Ketika Anda mengetuknya untuk membuka situs, ia malah akan membuka:

https://infosec.rm-it.de/
Artikel Menarik Lainya
Saya telah menguji kerentanannya, seperti yang ditunjukkan pada instruksi di atas pada iPhone X adik saya yang menjalankan iOS 11.2.6 dan berhasil. Kode QR adalah cara cepat dan mudah untuk berbagi informasi, tetapi masalahnya akan menjadi sangat berbahaya ketika pengguna bergantung pada kode QR untuk melakukan pembayaran cepat atau membuka situs web perbankan, di mana mereka mungkin akan menyerahkan kredensial masuk mereka ke phishing situs web. Peneliti telah melaporkan Bug ini ke Apple pada bulan Desember tahun lalu, tetapi Apple belum memperbaiki bug pada tanggal tersebut.(Sabtu, 31/03/2018)


EmoticonEmoticon