德國安全研究人員發(fā)現(xiàn) ，iOS 11的相機(jī)app含有漏洞，讓用戶可能被惡意QR Code導(dǎo)向不安全的網(wǎng)站。

一般情況下，iOS?的Camera app對(duì)準(zhǔn)QR code后，其內(nèi)建的QR Code讀取器會(huì)有通知顯示網(wǎng)站URL，并將用戶導(dǎo)向該網(wǎng)站。但安全研究人員Roman Mueller發(fā)現(xiàn)，iOS?的Camera app中的URL解析器存在一項(xiàng)漏洞，使它無法正確偵測QR Code URL中的主機(jī)名稱，讓攻擊者可以假造通知中顯示的URL，達(dá)到誘騙使用者連向第三方網(wǎng)站的目的。

研究人員并示范了一個(gè)QR Code，其URL為 https://xxx \@社交網(wǎng)站.com:443@ infosec.rm-it.de/ 。但因Camera app的漏洞，因此iPhone?通知顯示“以Safari開啟 社交網(wǎng)站.com ”，然而當(dāng)用戶點(diǎn)擊下去，就會(huì)被導(dǎo)向研究人員設(shè)立的 https://infosec.rm-it.de/ 網(wǎng)站。

研究人員懷疑問題出在Camera app和Safari解析上的差異：Camera app可能將xxx\視為用戶名稱，目的地為 社交網(wǎng)站.com:443 ，但Safari卻將xxx\@ 社交網(wǎng)站.com 解析為用戶名稱，而將443認(rèn)為要傳送給 infosec.rm-it.de 的密碼。

研究人員去年12月23日已將問題通報(bào)蘋果，但到今年3月24日蘋果似乎仍未修復(fù)，于是決定公布問題。