เตือนบั๊ก QR Code บน Apple iOS 11 เสี่ยงถูกหลอกเข้าเว็บแฮ็กเกอร์

Roman Mueller นักวิจัยด้านความมั่นคงปลอดภัยออกมาแจ้งเตือนถึงช่องโหว่ใหม่บนแอปกล้องถ่ายรูปของอุปกรณ์ iOS ซึ่งช่วยให้แฮ็กเกอร์สามารถเปลี่ยนเส้นทางการเข้าถึงเว็บไซต์ผ่านทางการสแกน QR Code ไปยังเว็บไซต์ของแฮ็กเกอร์ได้

ช่องโหว่นี้ส่งผลกระทบบน Apple iOS เวอร์ชัน 11 ล่าสุด ไม่ว่าจะเป็น iPhone, iPad หรือ iPod Touch ที่มีระบบอ่าน QR Code ติดตั้งอยู่บนแอปพลิเคชันกล้องถ่ายรูป เมื่อผู้ใช้เปิดกล้องแล้วหันไปทางตำแหน่งที่มี QR Code ถ้า QR Code นั้นๆ เป็น URL อุปกรณ์จะแจ้งเตือนให้ผู้ใช้กดลิงค์เพื่อเข้าถึง URL ดังกล่าวผ่านทางแอปพลิเคชัน Safari อย่างไรก็ตาม Mueller พบว่า URL Parser ของระบบอ่าน QR Code ของแอปกล้องถ่ายรูปมีปัญหาเรื่องการตรวจจับชื่อโฮสต์บน URL ส่งผลให้แฮ็กเกอร์สามารถดัดแปลง URL ที่แสดงผลบนหน้าจอ แล้วหลอกให้ผู้ใช้เข้าถึงเว็บไซต์ของตนแทน URL ที่แสดงผลจริงๆ ได้

ยกตัวอย่าง QR Code ด้านบน จะถูกแปลความเป็น

https://xxx\@facebook.com:443@infosec.rm-it.de/

แต่เมื่อใช้แอปกล้องถ่ายรูปของ iOS สแกน อุปกรณ์จะแจ้งเตือนว่าเป็น facebook.com

เมื่อกดคลิก Popup แจ้งเตือน แทนที่จะเป็นการเข้าถึง facebook.com กลับเข้าถึง infosec.rm-it.de แทน

Mueller ได้รายงานช่องโหว่นี้ไปยัง Apple เมื่อเดือนธันวาคมม 2017 ที่ผ่านมา แต่ Apple กลับไม่ออกแพตช์เพื่อแก้ไขปัญหาแต่อย่างใด ส่งผลให้เขาตัดสินใจเปิดเผยช่องโหว่นี้สู่สาธารณะในวันนี้

ที่มา: https://infosec.rm-it.de/2018/03/24/ios-camera-qr-code-url-parser-bug/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Firefox ออกแพตช์ช่องโหว่ใน Password Manager

สำหรับผู้ใช้งาน Firefox ทาง Mozilla ได้ทำการแพตช์อุดช่องโหว่ให้ Password Manager ซึ่งสามารถใช้ลัดผ่านการป้องกันของ Master Password ได้

Azure ประกาศเปิดทดลอง Geo Zone Redundant Storage

Azure ได้ประกาศเปิดทดลองใช้งาน Geo Zone Redundant Storage เพื่อตอบโจทย์อีกระดับของการปกป้องข้อมูลและ Availability