Depuis la version 11 du système d’exploitation mobile iOS, l’application Appareil photo peut scanner directement un code QR. Jusque-là, il fallait télécharger une application séparée pour les scanner.
Un code QR est un type de code-barres en deux dimensions représentant des informations. Il est souvent utilisé pour représenter une URL. Le scan d’un code QR dans une publicité d’un magazine papier facilite ainsi la consultation du site web correspondant, ou d’un site sur lequel on peut acheter le produit ou le service.
Quand le code QR représente une URL, l’application Appareil Photo ouvre une notification comme:
Ouvrir « facebook.com » dans Safari.
Roman Mueller, un spécialiste allemand de la cybersécurité, a découvert qu’il était possible de coder le code QR de telle façon que l’appli présente un nom de site web différent de l’URL qui sera envoyée au navigateur Safari.
Dans l’exemple suivant, l’utilisateur pense ouvrir le site facebook, mais se retrouve sur le site infosec.m-it.de:
Pour cela, il suffit de coder l’URL comme suit:
https://xxx\@nom-presente.com:443@URL-redirection/
soit dans notre exemple
https://xxx\@facebook.com:443@infosec.rm-it.de/
L’algorithme de l’application ne gère pas correctement le symbole ‘@’, et mésinterprète l’URL.
Ce bogue ouvre la porte à des pirates, c’est un moyen facile d’envoyer une personne sur un site web malveillant. On peut imaginer un faux site représentant à l’identique le site de la banque de l’utilisateur, afin de récupérer ses identifiants de comptes.
Mueller affirme qu’il a contacté Apple le 23 décembre 2017. Conformément à l’usage, il a laissé trois mois à l’entreprise pour publier un correctif de sécurité, avant de dévoiler la faille de sécurité qu’il a découverte.
Apple n’a toujours pas corrigé ce bogue…