Bildiğiniz gibi Apple, iOS 11 ile birlikte kullanıcılara kamera uygulamasında dahili bir QR kod okuyucu sunmuş ve üçüncü parti QR kod okuyuculara olan ihtiyacı bitirmişti. Kamera uygulamasındaki QR kod sayesinde kullanıcılara herhangi bir QR kodu taradıklarında kodun yönlendirdiği siteye gidileceğine dair bir bildirim geliyor ve kullanıcılar siteye gitmek istediklerinde Safari’de kodun yönlendirdiği web site açılıyor.
Fakat bir güvenlik araştırmacısı olan Roman Mueller, iOS 11’in kamera uygulamasında bulunan dahili QR kod okuyucuda çok ciddi bir güvenlik açığı olduğunu tespit etti. Mueller’in tespit ettiği açığa göre Apple’ın QR kod okuyucusu, yönlendirilen web sitenin ana makine adını algılayamıyor. Bu sayede kötü QR kod hazırlayanlar, bildirimde farklı bir site gösterip Safari’de farklı bir web site açabiliyorlar.
Bulduğu açığı test etmek için bir QR kod ve URL hazırlayan Mueller, Apple’ın QR kod okuyucusunun kötü amaçlı sitelere karşı kullanıcılarını ne kadar güvenliksiz bıraktığını gözler önüne seriyor:
Yukarıda gösterilen URL tam olarak: https://xxx\@facebook.com:[email protected]/ Fakat eğer Apple kamera uygulamasındaki QR kod okuyucu ile kodu tararsanız, size gelen bildirim QR kodun sizi ‘facebook.com’ web sitesine yönlendirdiğini görüyorsunuz. Fakat kodun yönlendirdiği siteyi açtığınızda https://infosec.rm-it.de/ adresinin açıldığını göreceksiniz. Bu hata doğal olarak yalnızca iOS 11 işletim sisteminde bulunuyor ve Mueller, bu testi iOS 11.2.6 sürümünde gerçekleştirdi.
