Dan Pražák iOS 11 pek çok açıdan yetenekli bir sistem olsa da kararlılığı ve güvenliği o kadar da örnek teşkil edecek düzeyde değil. Apple hala Siri'nin kilit ekranından gizli mesajları okumasına izin veren en son hatayı düzeltmeye çalışırken, yerel Kamera uygulamasını ve kötü amaçlı QR kodlarını tarama yeteneğini içeren başka bir güvenlik açığı hafta sonu ortaya çıktı.
Olabilir seninle ilgilenmek
sunucu Bilgi Teknolojisi Kamera uygulamasının veya daha doğrusu QR kodlarını tarama işlevinin belirli koşullar altında kullanıcının yönlendirileceği gerçek web sitesini tanıyamadığı bulgusuna ulaştı. Böylece, bir saldırgan kullanıcıyı nispeten kolay bir şekilde belirli bir web sitesine yönlendirebilirken, uygulama tamamen farklı, güvenli sayfalara yönlendirme konusunda bilgi verir.
Böylece kullanıcılar örneğin facebook.com'a yönlendirileceklerini görürken gerçekte komut istemine tıkladıktan sonra https://jablickar.cz/ web sitesi yüklenecektir. Gerçek adresi bir QR kodunda saklamak ve iOS 11'de okuyucuyu kandırmak bir saldırgan için hiç de zor değil. QR kodunu oluştururken adrese birkaç karakter eklemeniz yeterli. Bahsedilen orijinal URL, gerekli karakterler eklendikten sonra şu şekilde görünür: https://xxx\@facebook.com:443@jablickar.cz/.
Fotoğraf Galeri
Her ne kadar hata yakın zamanda keşfedilmiş ve Apple bunu yakında düzeltecek gibi görünse de durum böyle değil. Hatta Infosec, gönderisinde bu durumun 23 Aralık 2017'de Apple'ın güvenlik ekibinin dikkatine sunulduğunu ve ne yazık ki bugüne kadar, yani üç aydan fazla süre geçmesine rağmen düzeltilemediğini belirtmişti. Bu nedenle, en azından hatanın medyada yer almasına yanıt olarak, Apple'ın bunu yaklaşan bir sistem güncellemesinde düzelteceğini umalım.
