iOS 讀取 QR 條碼功能有問題，可被利用誘導至釣魚網站

蘋果 iOS 可配合內建「相機」App 掃瞄 QR 條碼，用以打開 Safari 瀏覽器瀏覽 QR 條碼背後的網站。然而最近有資訊安全公司發現，有心人會包裝網址，誘導用戶瀏覽不安全網頁。用戶在畫面看到的域名，與實際瀏覽的網頁不同。

iOS 11 新增的 QR 條碼辨識功能，讓用戶使用 iPhone、iPad 等 iOS 設備的相機對準 QR 條碼時，會顯示出條碼背後的網址，用戶確認後便可利用 Safari 瀏覽器打開該網站。德國資訊安全公司 Infosec 發現，只要加工網址，用戶確認畫面時看到的網域，會與實際瀏覽網址的網域不同。

Infosec 首先使用一個網址「https://infosec.rm-it.de/」製作 QR 條碼，iOS 能正常讀取該條碼，並彈出「Open 「infosec.rm-it.de」 in Safari」的正常確認視窗。

但如果把網址更改成「https://xxx@facebook.com:443@infosec.rm-it.de/」，iOS 的「相機」App 卻會錯誤判斷 QR 條碼網址的域名，顯示出「Facebook.com」的確認畫面。

打開已動手腳的 QR 條碼，畫面雖然表示會連接到 Facebook.com……

然而實際上會移到不同網域的網頁。圖為 Infosec 公司示範網頁。（Source：Infosec）

Infosec 認為這是 iOS 的程序錯誤，有心人可利用這種方式，製作誤導手機用戶的 QR 條碼，誘導用戶進入一些不安全網站或釣魚網站，呼籲蘋果儘快修復錯誤。

（本文由 Unwire HK授權轉載；首圖來源：pixabay）

如需獲取更多資訊，請關注微信公眾賬號：Technews科技新報

為守護「把科技注入趣味生活」的宗旨，我們一直以來的取材都不局限於 3C 領域上，不斷加入港人生活化的元素，例如以往我們的： 真正趣味香港科技新聞 除了傳統的 3C 產品新聞外，我們也會報導甚至親自採訪一些趣味的香港科技新聞，例如 IFC 的 iPhone 鐵籠事件到最近的全攻型收音機事件，我們都是最早報道的一群，每每成了香港搜索引擎中的最熱門關鍵字。

Latest posts by Unwire HK

未經許可，任何媒體、網站或個人不得複製、轉載、或以其他方式使用本網站的內容，違者必究。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！