呂守箴(OpenBlue) => 網路攻防戰~資安閒聊群組: 標題：iOS 讀取 QR Code 功能有問題，可被誘導至釣魚網站摘要：德國資訊安全公司 Infosec 發現，只要加工網址，用戶確認畫面時看到的網域，會與實際瀏覽網址的網域不同。 Infosec 首先使用一個網址「https://infosec.rm-it.de/」製作 QR 條碼，iOS 能正常讀取該條碼，並彈出「Open “infosec.rm-it.de” in Safari」的正常確認視窗。但如果把網址更改成「https://xxx\@facebook.com:443@infosec.rm-it.de/」，iOS 的「相機」App 卻會錯誤判斷 QR 條碼網址的網域，顯示出「Facebook.com」的確認畫面。有心人可利用這種方式，製作誤導手機用戶的 QR 條碼，誘導用戶進入一些不安全網站或釣魚網站，呼籲蘋果盡快修復錯誤。原始資料： https://infosec.rm-it.de/2018/03/24/ios-camera-qr-code-url-parser-bug/ 引用來源： https://technews.tw/2018/03/28/ios-camera-qr-code-url-parser-bug/ #5abb033f5cd6146579858a73

呂守箴(OpenBlue) says to 網路攻防戰~資安閒聊群組

標題：iOS 讀取 QR Code 功能有問題，可被誘導至釣魚網站摘要：德國資訊安全公司 Infosec 發現，只要加工網址，用戶確認畫面時看到的網域，會與實際瀏覽網址的網域不同。 Infosec 首先使用一個網址「https://infosec.rm-it.de/」製作 QR 條碼，iOS 能正常讀取該條碼，並彈出「Open “infosec.rm-it.de” in Safari」的正常確認視窗。但如果把網址更改成「https://xxx\@facebook.com:443@infosec.rm-it.de/」，iOS 的「相機」App 卻會錯誤判斷 QR 條碼網址的網域，顯示出「Facebook.com」的確認畫面。有心人可利用這種方式，製作誤導手機用戶的 QR 條碼，誘導用戶進入一些不安全網站或釣魚網站，呼籲蘋果盡快修復錯誤。原始資料： https://infosec.rm-it.de/2018/03/24/ios-camera-qr-code-url-parser-bug/ 引用來源： https://technews.tw/2018/03/28/ios-camera-qr-code-url-parser-bug/

at Wed, Mar 28, 2018 10:51 AM