iOS 11相机BUG,恐让用户误入恶意网站

iOS从正式版发布到现在已经经历了好几个小版本的更新,主要还是在BUG修复和增强稳定性上。单最近,有安全机构发现了iOS 11中一个新的可被利用的漏洞,容易让用户误入恶意网站,那就是相机。

苹果在iOS 11中增加了一个新的功能,用相机直接扫描二维码就能够直接跳转应用或者用Safari浏览器打开对应的链接,这的确让一些场景变得更加方便。但用户在打开链接之前并不能确认是否安全,甚至容易被误导。

因为使用相机扫描二维码之后,如果是个链接,就会弹窗提醒跳转的内容,例如将打开某个链接。安全机构infosec尝试修改了其显示的目标名,换成一个比较可信任的目标(例如Facebook.com),但链接依然不变。

经过测试之后发现的确可行,如原图的GIF所示,弹窗提示将跳转“Facebook.com”,但点击之后依然是原来的地址“infosec.rm-it.de”。有兴趣的可以自行测试一下哦~

这种方式很容易被黑客利用,诱导用户进入恶意网站。据称去年年底就有人报告了这一BUG,但截至FreeBuf发稿之时这个问题依然存在。

在苹果官方注意到这个问题之后,希望能够加入一些鉴别虚假、恶意二维码的功能,避免更多用户上当受骗。

*参考来源:infosec,本文作者Andy,转载请注明来自FreeBuf.COM

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-03-28

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Youngxj

[seo]分析网站关键词排名下降的五种原因!

16230
来自专栏Android 开发者

Android P 开发者预览版首发!

25320
来自专栏IT派

高级工程师的晋升之路:如何用 JavaScript 打造十亿级的应用

我以前开发过超大规模的JavaScript应用。现在我不做了,所以我觉得应该回顾下我学到的东西。昨天我在宴会上喝啤酒时有人问我,“嗨Malte,你为什么要来讲这...

9020
来自专栏Hongten

那些年我们开发的应用程序

这里所要谈到的应用程序主要是由Java,Python等语言,并且在Windows环境下开发和实现。

11120
来自专栏曾大稳的博客

ffmpeg视频播放器相关

和播放音频一样,采用生产者消费者模型。AvPacket入队,然后AvPacket出队伍解码。

14720
来自专栏企鹅号快讯

从网站结构出发,提升搜索引擎的友好度

搜索引擎爬取网站内容都是从网站的结构出发,为了提升搜索引擎的友好的,优化网站结构是重点。和对待用户一样,对待搜索引擎也需要投其所好,才能获取它的友好度。 ? 1...

22960
来自专栏大数据挖掘DT机器学习

用 Python 来刷微信「跳一跳」游戏的记录

本文代码在公众号 datadw 里 回复 跳一跳 即可获取。 微信小程序的游戏 —— 跳一跳,可以说是火爆了所有的微信好友圈。甚至比五六年前的飞机大战游戏都...

44870
来自专栏ThoughtWorks

它比微信小程序早出现半年,却不曾引爆技术圈|TW洞见

汪志成 ThoughtWorks 作为一个程序员,这两天的朋友圈被微信小应用刷屏了吧?想试了吧?没拿到邀请吧?没关系,我来帮你! 当然,我没法帮你拿到邀请码 —...

38080
来自专栏性能与架构

每秒处理10万张图片 imgix用了哪些技术?

imgix 提供了实时的图片处理和传输服务 典型需求示例 ? 一个图片在不同设备中需要有不同的显示尺寸,如果网站自己处理会很麻烦,交给 imgix 则非常简单 ...

39170
来自专栏成猿之路

100种电脑小工具,你值得拥有。

19730

扫码关注云+社区

领取腾讯云代金券