L’application Appareil photograph par défaut a reçu quelques astuces supplémentaires lors de la sortie d’iOS 11, et le meilleur ajout était de loin l’inclusion d’un lecteur de code QR intégré, car cela signifiait qu’il n’y avait moreover d’applications tierces uniquement pour la numérisation de code QR. Cependant, le scanner de code QR intégré d’Apple présentait une vulnérabilité à un moment donné qui permettrait aux pirates de vous diriger vers un website Web compromis sans même que vous le remarquiez.
Bien qu’elle soit désormais ancienne, la vulnérabilité en question, découvert par le consultant en sécurité Roman Mueller, s’est produit lorsque l’application Appareil image a scanné un code QR avec un lien vers un web-site Internet. Après l’analyse, il n’a pas correctement analysé l’URL à l’intérieur, ce qui peut entraîner l’affichage d’un nom de domaine dans la notification, tandis que le fait de taper dessus vous amènerait à un nom de domaine complètement différent.
En utilisant l’exemple de Roman, l’URL dans le code QR serait intégrée comme telle :
https://xxx@fb.com:443@infosec.rm-it.de/
Et après avoir scanné le code QR, la fenêtre contextuelle de votre software Appareil photograph aurait dit « Ouvrir ‘facebook’ dans Safari » mais vous aurait en fait dirigé vers infosec.rm-it.de à la position.
Tout ce qu’un pirate informatique devait faire pour vous inciter à abandonner vos informations d’identification était de créer un clone convaincant du web page Internet auquel vous pensiez que vous alliez, avec une URL qui ressemblait presque à celle qu’il se fait passer pour, puis de le mettre là-bas sur le Net et le phishing jusqu’à ce qu’ils en aient assez de ce qu’ils voulaient.
Bien que Roman l’ait découvert dans iOS 11.2.1, nous l’avions testé dans iOS 11.2.6, la model bêta d’iOS 11.3 et iOS 11.3, et il a persisté dans toutes ces variations. Le problème a été signalé à Apple le 23 décembre 2017, mais n’a été officiellement résolu que le 24 avril 2018, lorsque iOS 11.3.1 a été rendu public.
Donc, si vous utilisez quelque chose à partir d’iOS 11.3.1 ou model ultérieure, comme iOS 12 ou iOS 13, vous n’avez pas à vous soucier de la vulnérabilité. Néanmoins, vous pourriez être intéressé par des lecteurs de code QR tiers si vous n’aimez pas ou ne faites pas confiance à Apple.
Table des matières
Mettre à jour vers iOS 11.3.1 ou version ultérieure pour résoudre ce problème
Apple a finalement résolu le problème, étiqueté par Apple comme CVE-2018-4187, dans la mise à jour iOS 11.3.1 du 24 avril 2018. Donc, si vous aimez l’idée d’utiliser votre software Appareil photo pour scanner les codes QR, il vous suffit mettre à jour vers iOS 11.3.1 ou edition ultérieure, comme iOS 12 ou iOS 13, sur votre Iphone.
Désactiver le scanner de code QR intégré de l’appareil photograph
Que vous scanniez ou non les codes QR quotidiennement ou presque jamais, vous souhaiterez désactiver le scanner de code QR dans l’application Appareil photograph si cela vous inquiète du stage de vue de la sécurité. Même si Apple a résolu le problème, cela montre à quel point il est facile pour les pirates de profiter de vous en utilisant des programs Apple en inventory.
Bien que les possibilities que vous scanniez un code QR malveillant soient relativement faibles, vous ne pouvez jamais être trop en sécurité. Mettez à jour vers iOS 11.3.1 ou une version ultérieure ou ouvrez votre software Paramètres, appuyez sur « Appareil picture », puis désactivez « Scanner les codes QR ».
Utilisez plutôt un scanner de code QR tiers
Si vous vous retrouvez à scanner de nombreux codes QR et que vous ne souhaitez pas encore effectuer la mise à jour vers iOS 11.3.1 ou une version ultérieure, vous souhaiterez peut-être revenir à l’un de vos scanners de codes QR tiers jusqu’à ce que vous soyez prêt à faire confiance. Pomme encore.
Nous avons personnellement testé tous les lecteurs de code QR gratuits ci-dessous en utilisant la même vulnérabilité, et ils n’ont tous pas réussi à charger correctement la web page Web malveillante. Certains ont effectué une recherche sur le World wide web pour la chaîne tandis que d’autres n’ont tout simplement pas lu l’URL, l’ont traitée comme un lien de courrier électronique ou ont simplement planté l’application. Quoi qu’il en soit, c’était évident et n’allait pas directement sur le site Internet malveillant.
Comme mentionné précédemment, les odds que vous preniez un instantané d’un code QR malveillant sont faibles, mais c’est certainement possible, donc une software tierce peut être bonne si vous utilisez iOS 11.3 ou une edition antérieure. Sinon, assurez-vous d’installer iOS 11.3.1 ou model ultérieure pour être protégé.
Notice de l’éditeur : post mis à jour le 24 avril 2018, lorsque Apple a publié iOS 11.3.1.
Gardez votre connexion sécurisée sans facture mensuelle. Obtenez un abonnement à vie à VPN Limitless pour tous vos appareils avec un achat one of a kind dans la nouvelle boutique High Cellphone, et regardez Hulu ou Netflix sans limits régionales, augmentez la sécurité lors de la navigation sur les réseaux publics, et moreover encore.
Acheter maintenant (80 % de réduction) >
Autres offres intéressantes à vérifier:
