研究人员发现在iOS△11的相机app含有漏洞,扫描QR△Code可能将用户导向恶意的网站。中示意图,与新闻事件无关。
德国安全研究人员发现,iOS△11的相机app含有漏洞,让用户可能被恶意QR△Code导向不安全的网站。
一般情况下,iOS?的Camera△app对准QR△code后,其内建的QR△Code读取器会有通知显示网站URL,并将用户导向该网站。但安全研究人员Roman△Mueller发现,iOS?的Camera△app中的URL解析器(parser)存在一项漏洞,使它无法正确侦测QR△Code△URL中的主机名称,让攻击者可以假造通知中显示的URL,达到诱骗使用者连向第三方网站的目的。
研究人员并示范了一个QR△Code,其URL为https://xxx\#facebook.com:443#infosec.rm-it.de/。但因Camera△app的漏洞,因此iPhone?通知显示“以Safari开启facebook.com”,然而当用户点击下去,就会被导向研究人员设立的https://infosec.rm-it.de/网站。
研究人员怀疑问题出在Camera△app和Safari解析上的差异:Camera△app可能将xxx\视为用户名称,目的地为facebook.com:443,但Safari却将xxx\#facebook.com解析为用户名称,而将443认为要传送给infosec.rm-it.de的密码。
研究人员去年12月23日已将问题通报苹果,但到今年3月24日苹果似乎仍未修复,于是决定公布问题。
I 相关 / Other
相信大家对滴滴打车都非常熟悉吧!其实滴滴要跨界做外卖的消息早有听说了,面对美图打车在上海强势上线,对于滴滴将要推出的核心外面业务多少有点影响。昨天,滴滴外卖在无锡上线了,当地的市面点外卖的福利到了,据
用银行卡转账,钱被原路退回后,转入卡的余额反而增加了。2016年6月4日至12日,8天时间内,在上海工作的福建男子叶榅飞,利用银行系统漏洞,转账超350次,获利1125万元。2017年9月30日,上海奉贤法院一审认定,叶榅飞
在网上电商平台浏览阿胶产品,各种品牌、多个类型的阿胶产品之间,存在着巨大的价格差距,消费者不禁疑惑,它们之间的品质会相差多少?近日,在拼多多、淘宝等电商平台,新京报记者查询上百种阿胶产品后发现,以同规
现在听音乐的app有很多,网易云音乐也是非常多用户喜欢的,但是在近日网易云400元打包挂卖周杰伦歌曲引起了不少用户的关注,为此网易云发声明向用户致歉,这是怎么回事呢?网易云音乐怎么样 网易云音乐是一款专注于发
Drupal 6/7/8含有远端攻击漏洞,全球百万网站安全拉警报
排名全球第三大内容管理系统的Drupal近日传出含有一个远端攻击漏洞,且被列为严重等级最高的安全漏洞,可被用来执行本地文件包含(Local△file△inclusion△on△Windows)攻击、假冒攻击与权限扩张攻击,危害整个Dru