พบช่องโหว่ใน iOS Camera App ทำให้สามารถหลอก user ให้เข้าเว็บไซด์ที่เป็น phishing หรือ malicious website ใดๆได้
ช่องโหว่ดังกล่าวเกิดกับ iOS 11 ใน iPhone, iPad, และ iPod touch devices
ใน iOS 11 ตัว Apple มีการใส่ feature ให้สามารถอ่าน QR Codes โดยใช้แอพพลิเคชั่นกล้องที่ติดมากับเครื่องได้ โดยไม่ต้องติดตั้ง app อื่นใดเลย ซึ่งโดยปกติเมื่อ Camera App ดังกล่าวชี้ไปยัง QRCode หากตัว code เป็น URL ใดๆ จะมีการ popup ให้กด link address นั้นๆขึ้นมาเพื่อให้กดไปยัง website ดังกล่าวผ่าน Safari browser. แต่ตัว app ดันไม่สามารถแยก URL Scheme ได้ ทำให้ Security Research หลอก app ดังกล่าวได้ เช่น หากเว็บไซด์เป็น
|
1 |
https://xxx\@facebook.com:443@infosec.rm-it.de/ |
พอแอพเจอ URL ดังกล่าวจะ popup ขึ้นมาเป็น
|
1 |
Open "facebook.com" in Safari |
ซึ่งหากกดตกลงเปิด URL ดังกล่าว ก็จะถูกนำไปยัง
|
1 |
https://infosec.rm-it.de/ |
แทน
ตอนนี้ทาง Apple ยังไม่มีออก patch เพื่อแก้ไขแต่อย่างใด ดังนั้น user ทั่วไปเวลาจะเปิดอะไรก็ระวังให้ดีนะครับ
Source:: TheHackerNews
You May also Like
LINE@Techsuii.com
