La aplicación de cámara de iOS tiene una función para escanear códigos QR de forma automática, redirigiendo a los usuarios a la dirección que tenga incorporada. Sin embargo, una vulnerabilidad recientemente descubierta en el analizador de URL de la aplicación puede utilizarse indebidamente para redirigir a los usuarios a sitios web maliciosos.
Infosec encontró que es fácil engañar al lector de tal manera que pueda mostrar una URL pero visitar una diferente. El medio lo demuestra con un código QR que te pregunta si quieres abrir facebook.com en Safari, pero que en realidad te envía a su propia página web.
Todo lo que se necesita para lograr esto es incrustar una URL en este formato:
https://xxx\@facebook.com:443@infosec.rm-it.de/
De esta manera, iOS muestra la primera URL (en este caso la de Facebook) pero te lleva a la segunda.
El sitio dice que el fallo fue reportado a Apple el 23 de diciembre del año pasado, pero aún no ha sido corregido. Roman Mueller, de Infosec tuiteó cómo se ve esto en la práctica:
No es difícil imaginarse cómo se podría usar esto para redirigir a los usuarios a sitios web fraudulentos o malware. Los códigos QR maliciosos pueden no parecer estar a la cabeza de la lista cuando se trata de vulnerabilidades de seguridad, especialmente porque ya se pueden usar otros servicios de redireccionamiento como Bitly para ello.
De todas formas, cualquiera puede crear fácilmente tal código QR y luego difundirlo ya sea de forma física o a través de una red social o página web que permita el alojamiento de imágenes (casi todas), y este truco puede engañar a los usuarios.