Uma falha de segurança no leitor de QR Code do iOS pode fazer com que usuários de iPhones ou outros dispositivos da Apple sejam redirecionados para sites maliciosos por engano. O problema foi percebido por Roman Mueller, especialista em segurança responsável pelo blog Infosec, onde a descoberta foi publicada.
Mueller notou que basta incorporar a URL usando um formato diferente para conseguir fazer isso. No caso, ele criou um QR Code que supostamente levaria o usuário para o Facebook, mas na verdade o transfere para o próprio site dele. Você pode fazer o teste na imagem abaixo. Ele conseguiu isso utilizando a seguinte URL: https://xxx\@facebook.com:443@infosec.rm-it.de/.
Um iPhone deve exibir a notificação perguntando se você deseja abrir o Facebook no navegador Safari, mas redirecionar para o Infosec. Tentamos escanear o código utilizando o leitor de QR Code da Samsung e ele exibiu apenas uma página de erro com a URL correta.
Nos comentários do site 9to5Mac, foi encontrado pelo menos um aplicativo da App Store que apresenta a mesma falha vista no iOS, enquanto outros não fizeram o redirecionamento. Mueller disse que reportou o problema para a Apple em dezembro do ano passado, mas ele não foi corrigido até agora.
