Una falla en el lector de códigos QR en cámaras iOS podría dirigir a los usuarios a sitios webs maliciosos

Una falla en el lector de códigos QR integrado en la app de la cámara del sistema operativo iOS podría permitir que los usuarios naveguen en páginas webs peligrosas sin que lo sepan.

Si tu iPhone tiene iOS 11, puedes simplemente apuntar tu teléfono a un código QR cuando uses la aplicación de la cámara estándar, y este leerá y actuará sobre el código. En el caso de una URL de un sitio web integrado, iOS muestra la dirección del enlace y te pide que le des clic para confirmar si deseas visitarla. Sin embargo, es posible que no sea el enlace que se muestra.

Infosec descubrió que es fácil engañar al lector para que muestre una URL pero navegue una distinta. El sitio demuestra esto con un código QR que le pregunta si quiere abrir Facebook.com en Safari, pero lo que hace es enviarlo a su propio página web.

Si escaneas este código QR con la app de cámara iOS (11.2.1) verás esta notificación:

«Open “facebook.com” in Safari

Pero si lo tocas para abrir el sitio, en vez de abrir Facebook, se dirigirá a https://infosec.rm-it.de/

Todo lo que se necesita para lograr esto es insertar una URL en ese formato:

https://xxx\@facebook.com:443@infosec.rm-it.de/«

iOS muestra la primera URL pero te dirige a la segunda.

El sitio dice que la falla se reportó en Apple el 23 de diciembre del año pasado pero todavía sigue sin arreglarse.