Le lecteur de codes QR d’iOS 11 est facile à berner

Nicolas Furno |

Avec iOS 11, l’appareil photo fourni par défaut est aussi un lecteur de codes QR. Si l’un de ces codes est présent dans le champ, l’appareil le décode et permet d’agir, que ce soit pour ouvrir le lien ou l’adresse associée, ou même pour ajouter une fiche contact ou encore se connecter automatiquement à un réseau Wi-Fi (lire : iOS 11 prend en charge les codes QR). Cette fonction fait parler d’elle pour une mauvaise raison : il est facile de créer un code qui semble ouvrir une URL, alors qu’en fait il correspond à un tout autre site.

iOS 11 affiche que ce code QR mène au site de Facebook (gauche), alors qu’il ouvre en fait une toute autre URL (droite).

C’est la découverte rapportée par le site spécialisé en sécurité Infosec. Pour arriver à masquer une URL, ils utilisent un lien spécifique qui contient le nom de domaine à afficher, ainsi que d’autres caractères qu’iOS 11 efface. Dans le cas présent, voici l’URL utilisée pour générer le code :

https://xxx\@facebook.com:443@infosec.rm-it.de/

Le nom de domaine de Facebook apparaît bien, mais le vrai nom de domaine à la fin est « oublié » par iOS 11. Le site émet l’hypothèse que les @ troublent le système et l’amènent à croire que ce qui précède est un nom d’utilisateur pour le nom de domaine qui suit. Par ailleurs, Apple se contente a priori du premier nom de domaine et ne gère pas l’URL dans sa totalité.

Quelles que soient les raisons de cette confusion, elle pourrait servir de biais pour une attaque de phishing, même si utiliser des codes QR réduit naturellement sa dangerosité (le lien n’est pas ouvert automatiquement, c’est à l’utilisateur de toucher la notification pour ouvrir l’URL correspondante). Apple pourrait corriger ce bug malgré tout, mais l’entreprise n’a rien fait depuis la fin décembre, date à laquelle le site à l’origine de la découverte a envoyé l’information. Maintenant que le bug est public, peut-être que la réaction sera plus rapide…

En attendant, rappelons que vous pouvez désactiver totalement cette fonction dans les Réglages : dans la section « Appareil photo », décochez l’option « Scanner des codes QR » et vous n’aurez plus jamais le problème.


avatar Ramlec | 

Je peux comprendre le risque mais de là à conseiller de désactiver totalement la fonction, n’est-ce pas un peu extrême ?

avatar C1rc3@0rc | 

@Ramlec

«Je peux comprendre le risque mais de là à conseiller de désactiver totalement la fonction, n’est-ce pas un peu extrême ?»

Extreme, non, c'est la seule solution actuelement.

N'importe qui peut planquer un code QR dans une image - que la camera verra et pas l'utilisateur - et qui permettra de pirater l'appareil.

Il ne faut pas oublier qu'iOS 11 est une mine de failles de tous genres et que construire des malware avec cet OS pourri revient a un jeu de Lego avec lequel le scriptkiddy de base peut s'amuser en produisant des saletes vraiment nocives.

Ici on a juste une porte d'entrée de plus qui a l'avantage d'etre tres, mais vraiment tres, facilement exploitable pour diverses soft aussi malfaisant que dangereux.
Il faut se rappeler que Safari est "tombé" plusieurs fois ces derniers mois et qu'il a permis aux chercheurs en securité de remporter plusieurs concours de hacking... avec des trucs mechants comme des escalades de privileges.
Il faut donc imaginer l'ampleur du desastre possible en liant ces deux failles...

avatar zoubi2 | 

Ah la la... Les fanboys...

avatar Nesus | 

@C1rc3@0rc

Ah ouai quand même...

En fait tu n’as jamais utiliser un iPhone de ta vie. Je ne vois que ça comme explication... quoi que j’en vois peut-être une autre... mais non ! La première est forcément la bonne !

avatar C1rc3@0rc | 

@Nesus

«En fait tu n’as jamais utiliser un iPhone de ta vie. Je ne vois que ça comme explication... quoi que j’en vois peut-être une autre... mais non ! La première est forcément la bonne !»

Va falloir que tu en trouves une autre, parce que des iPhone j'en ai depuis le premier modele et que j'ai developpé du soft pour les OS Apple (et quelques Unix aussi...) depuis plus de 15 ans...
Essayes encore!

Maintenant face a ton commentaire dont l'immensité du vide est siderale je m'interroge: es tu denué de la moindre capacité de reflexion et n'agis tu que de maniere emotionnelle ou de temps a autres arrives tu as produire une pensée un peu elaborée et argumentée?

avatar Ramlec | 

@C1rc3@0rc

Mais inutile de perdre son temps à écrire des commentaires de 36 000 lignes pour lancer de pareils inepties.

D’une, le lien QRCode ne se lance pas automatiquement. Dès le départ, les risques sont limités nécessitant une intervention de l’utilisateur.

De deux, on parle d’ici de possibles attaques de phishing, pas de piratage du téléphone.

De trois, on peut se faire avoir par le phishing via mail. On fait quoi ? On arrête les mails ?

Donc, oui, conseiller de désactiver cette fonction est à mon sens extrême. De la prévention suffit.

avatar C1rc3@0rc | 

@Ramlec

«De deux, on parle d’ici de possibles attaques de phishing, pas de piratage du téléphone.»
D'1 le phishing est un piratage.

De 2, la notification eventuelle provient... de l'OS, pas d'une application douteuse. L'utilisateur a toute les raison de cliquer machinalement ok sur une notification de l'OS...

De 3 au moins tu lisais au-dela de la 3eme ligne avant de repondre betement: le phishing permet de rediriger sur une page qui exploite une des multiples failles de Safari, permettant une escalade vers les droits - root - dans l'OS. Le mecanisme a ete demontrés il y a quelques jours encore et a deja servi pour le jailbreak...

«Avec iOS 11, l’appareil photo fourni par défaut est aussi un lecteur de codes QR. Si l’un de ces codes est présent dans le champ, l’appareil le décode et permet d’agir, que ce soit pour ouvrir le lien ou l’adresse associée, ou même pour ajouter une fiche contact ou encore se connecter automatiquement à un réseau Wi-Fi »

T'as pas compris quoi dans la liste des risques et possibilités offertes aux hacker?
Faut aussi lire les article au dela de la 1ere ligne...

«De trois, on peut se faire avoir par le phishing via mail. On fait quoi ? On arrête les mails ?»
Reflexion d'une idiotie abyssale: la releve d'un mail est une demarche volontaire, la lecture d'un mail est une demarche volontaire, cliquer sur un lien dans un mail est une demarche volontaire,...
Le lien a cliquer est affiché explicitement vs un QR code quasi-invisible a l'oeil nu...
Et l'utilisateur est prevenu qu'il ne dois jamais acceder a un compte via un lien dans un mail!!! Alors qu'un QR code est un raccourci evitant de saisir une addresse (ou autre donnée)

Et toi tu opposes cela a une faille de securité qui peut etre exploitée simplement en utilisant la camera de son iPhone. De plus le systeme de notification de l'iPhone a deja ete pris en defaut...

avatar heu | 

@C1rc3@0rc

Ça doit être comique le surf online avec toi. Tu ne consultes donc jamais que des domaines que tu as préalablement white listé. Dès que tu vois un lien dont le domaine ne te revient pas, tu coupes internet au cas oú un process l'aurait préchargé dans ton dos. Lol.

avatar Ramlec | 

@C1rc3@0rc

« D'1 le phishing est un piratage. » oui une calèche est aussi appelée voiture

« De 2 au moins tu lisais au-dela de la 3eme ligne avant de repondre betement »
Alors je passe sur l’insulte parce que c’est du bas niveau.

« Reflexion d'une idiotie abyssale »
Fiou. J’ai le droit à un argumentaire exceptionnel ce soir.
« la releve d'un mail est une demarche volontaire, la lecture d'un mail est une demarche volontaire, cliquer sur un lien dans un mail est une demarche volontaire,...
L'utilisateur est prevenu qu'il ne dois jamais acceder a un compte via un lien dans un mail!!! »
Oui, et ? C’est la même ici. Il faut cliquer sur la notification. Je ne vois pas ce qu’il vous faut de plus !
Le système de notification a été pris en défaut mais l’est-il ici ? Non, pas pour le moment.
Et même dans ce cas, les risques sont minimes même en cas d’exploitation de la faille root.

avatar C1rc3@0rc | 

@Ramlec

«« D'1 le phishing est un piratage. » oui une calèche est aussi appelée voiture»

Effectivement ce sont deux moyens de transport similaires permettant de se rendre d'un point A a un point B plus rapidement qu'a pied et en utilisant une motricité qui n'est pas celle de son corps... une bagnole a essence ou electrique peut aller plus vite que la caleche tractée par n chevaux, mais la vitesse n'en change pas la nature.

Le phishing est bien du piratage aussi nocif et efficace que n'importe quel autre forme et souvent plusieurs formes sont associées...

« De 2 au moins tu lisais au-dela de la 3eme ligne avant de repondre betement »
Alors je passe sur l’insulte parce que c’est du bas niveau.

C'est pas une insulte, a contraire, je t'accorde le benefice du doute par rapport a ton intelligence potentielle en supposant que la bêtise de ton commentaire repose sur l'absence de lecture compléte du commentaire et de l'article.

«Et même dans ce cas, les risques sont minimes même en cas d’exploitation de la faille root.»

les risques sont minimes même en cas d’exploitation de la faille root... je sais meme plus comment qualifier cette reflexion... une exploitation root presente un risque minime? Je sais pas s'il faut rire ou pleurer la.
Non, une exploitation du niveau de privilege maximum - ce que veut dire root - est ce qu'il y a de plus grave!

avatar pao2 | 

C'est pourtant un bug qui paraît simple à corriger! Quand Apple reçoit l'information de la présence d'un bug, elle l'étudie ou jette simplement l'email à la poubelle?

avatar C1rc3@0rc | 

«C'est pourtant un bug qui paraît simple à corriger»

C'est pourtant un bug qui parait simple a eviter - surtout via un systeme analogique - ...
Oui mais voila, chez Apple depuis quelques annees les bug cons et evitables (de niveau grand debutant ) ça se multiplient comme des lapins...

Bref, y a tellement de choses a corriger dans iOS 11 et MacOS HS 10.13, que le travaille est titanesque et la moindre chose devient un chantier de longue haleine!

avatar Ramlec | 

@C1rc3@0rc

Les bugs c’est comme les questions, ça n’est jamais con.
Bref, « système analogique » ? Allez? Le mécanisme vidéo est analogique mais le traitement de reconnaissance et de traitement du QRCode est numérique.

« De niveau grands débutants » ? Êtes-vous seulement dans le milieu pour dire des choses pareilles ?
Les bugs de développement arrivent à tout le monde. Les erreurs de tests, également.
Et non celui-là n’est pas un bug de grands débutants, il est juste non complexe et, oui, simple a corriger. Mais il n’est pas la priorité d’Apple car les risques sont jugés minimes.

avatar C1rc3@0rc | 

@Ramlec

«Bref, « système analogique » ? Allez? Le mécanisme vidéo est analogique mais le traitement de reconnaissance et de traitement du QRCode est numérique. »

Tu comprends ce qu'est un support analogique? On dirait bien que non...
Tu fais comment pour verifier l'integrité d'une donnée provenant d'une source analogique?

«Les bugs c’est comme les questions, ça n’est jamais con.»

Quel est l'age du capitaine?
Des questions cons il y en a, surtout quand elles sont hors contexte... et des bug resultant de la non consideration du contexte y en a un paquet (pourquoi s'assurer qu'un tableau a bien de n valeurs avant d'ecrire dans la cellule n, surtout quand n est une variable, hein?)

Des bug cons il y en a des platées, ils sont listés dans les formations un peu sérieuses au developpement. En ecole d'ingenieurs on apprend meme a utiliser des méthodes de conception permettant d'eviter les bugs et surtout les erreurs de conception...

«« De niveau grands débutants » ? Êtes-vous seulement dans le milieu pour dire des choses pareilles ?»
Formations en ingénierie informatique CNAM et universitaire plus quelques annees de travail dans des boites du secteur - notamment a destination du secteur bancaire et industriel et académique - ça compte? Formations d'etudiants et de stagiares ça compte ou pas?

Et toi tu as quoi comme formation et experience dans le domaine?

avatar Jeckill13 | 

La bonne question est plutôt est ce propre au lecteur de qrcode de l’appareil photo apple ou les autres lecteurs et application du genre se font-ils avoir aussi ?

avatar zoubi2 | 

Testé avec l'appli i-nigma sous Android : ça me renvoie aussi l'URL complète.

avatar Malum | 

J’avoue ne rien comprendre à ces explications.
Il est écrit : pourrait ouvrir et non ouvre. Pourquoi.
Si le traitement oublie une partie et n’en affiche qu’une autre alors le lien doit pointer vers cet autre je suppose, donc on sait où l’on va.
Ceci dit pourquoi cette erreur n’est-elle pas corrigée ?

avatar C1rc3@0rc | 

@Malum

https://infosec.rm-it.de/2018/03/24/ios-camera-qr-code-url-parser-bug/

Pour faire court: tu fais un selfie dans une rue avec un petit malin qui a dissimulé un QR code malicieux sur une affiche, un tag,... ou encore plus légitimement - avec le developpement de la VR - tu photographie une page d'information municipale, un plans de la ville, une indication dans un musée, une affiche pour un concert, ...

quelques instant plus tard tu as une notification qui te demande si Safari doit ouvrir le site d'Apple ou de la municipalité ou du musée, de l'artiste, du commerçant...

Sauf que l'adresse que va ouvrir Safari c'est pas celle affichée mais une page Web vérolée permettant d’exécuter un malware en mode root exploitant une des failles de Safari...

Voila.

Maintenant, imagines que le truc aille plus loin et qu'il soit possible d'exploiter non pas Safari mais aussi les Webview des applications - ou la aussi une faille a ete demontré il y a peu-...

«Ceci dit pourquoi cette erreur n’est-elle pas corrigée ?»
Peut etre parce que chez Apple ils sont debordés par la correction des 9999 autres failles et bugs presents dans leurs OS et a la bourre pour avoir un iOS 12 et un MacOS 10.14 un minimum fonctionnels a presenter dans a peine 60 jours!!!

avatar softjo | 

Les bugs chez Apple, ca ne se communique pas via leur Bug Reporter, mais via des plaintes collectives.
C’est l’unique moyen de leur remonter les bugs...

avatar cdp86 | 

@softjo

C’est vrai et c’est bien dommage ! Faudra t’il changer de grand chef ou de sous grand chef pour voir une amélioration de ce côté là ? ...

N’empêche ce serait très intéressant de voir comment est traitée puis circule l’information niveau debugging chez Apple. Pas assez de ressources allouées ? Pas prioritaire ? Pas assez de communication ? Qu’est ce qui coince ?

avatar NerdForever | 

Soyons radical : désactiver votre iPhone vous ne serez plus embêtés...

Non mais sérieux c'est une blague la fin de l'article car ce n'est pas une solution... le seul endroit où j'ai vu ça c'est dans le nucléaire... ça bipe, qu'est-ce qu'on fait? - il faut désactiver le capteur et le faire changer ... (entre temps ça aura baissé...)

avatar mk3d | 

PTDR votre crise d’égaux les types :) bon on s’en fout en fait quoi... ?

CONNEXION UTILISATEUR