L’application Caméra du système d’Apple a du mal à gérer certains formats d’URL, permettant aux pirates d’attirer les utilisateurs ni vu ni connu vers des sites piégés.
Si vous avez un iPhone et que vous avez l’habitude de scanner des QR codes avec l’application Caméra, prenez garde ! Une faille permet aux pirates de tromper aisément l’utilisateur et de le rediriger vers un site piégé alors qu’il croît se rendre vers un site de confiance. Découverte par le chercheur en sécurité Roman Mueller, cette vulnérabilité est liée au parseur d’URL qui, visiblement, a du mal à gérer certaines chaînes de caractères.
Prenons par exemple le QR code suivant :
Il encode cette URL très bizarre :
https://xxx\@facebook.com:443@infosec.rm-it.de
En la scannant avec l’application Caméra, celle-ci va afficher l’alerte suivante :
Ouvrir « facebook.com » dans Safari
Mais en réalité, si l’utilisateur clique dessus, il ne se retrouvera par sur facebook.com, mais sur infosec.rm-it.de. « Le parseur d’URL de l’application caméra n’arrive pas à détecter le nom de domaine de la même manière que celui de Safari », souligne le chercheur en sécurité sur son blog. Toutefois, il ne connaît pas la raison profonde de ce bug. Il suppose que dans le premier cas, « xxx\ » est détecté comme le nom d’un utilisateur sur le site facebook.com. Dans le second cas, c’est probablement la chaîne « xxx\@facebook.com » qui serait comprise comme un utilisateur sur le site infosec.rm-it.de. Roman Mueller a alerté Apple en décembre dernier. Trois mois plus tard, ce bug n’est malheureusement toujours pas corrigé. En attendant, mieux vaut éviter les codes QR .
Des soucis aussi sur Android
Les problèmes avec les QR codes n’existent pas que sur iOS. Sur Android, les utilisateurs doivent également être vigilants. Les chercheurs en sécurité de Sophos ont détecté toute une série de lecteurs de QR codes sur Google Play qui sont en réalité des chevaux Troie publicitaires qui placardent de la réclame sur l’interface utilisateur. Certains d’entre eux ont été téléchargés plus de 500.000 fois. Depuis, ils ont été supprimés par Google.