Os códigos QR quase sempre existiram, mas nunca se tornaram algo de que precisamos para viver no dia a dia. Porém, A Apple integrou um leitor de código QR com o lançamento do iOS 11, de forma que se tivermos essa opção ativada dentro das opções de câmera, quando aproximamos nosso iPhone de um código QR, ele nos permitirá visitar o endereço da web para o qual ele direciona.
iOS 11 parece ter se tornado uma das versões dos sistemas operacionais de dispositivos móveis da Apple com maior número de bugs E como prova disso, hoje falamos de outro bug, desta vez relacionado ao leitor de QR code integrado à câmera do iPhone. Este bug pode redirecionar usuários a sites maliciosos sem o seu conhecimento.
Quando usamos o leitor de código QR no iPhone com iOS 11, na parte superior da tela, o url do endereço encontrado no código QR é exibido e para visitá-lo basta clicar nele para que o navegador Safari abra com o endereço da web, mas como a Infosec detectou, podemos não estar realmente visitando a página da web que é teoricamente mostrada no código.
Você mesmo pode fazer o teste com o código que deixo logo acima dessas linhas. Se você usar o leitor de código de impressão digital que se integra ao navegador Chrome, o endereço que detecta apresentará um erro, enquanto se fizermos isso com o aplicativo de câmera do iPhone, ele nos redirecionará para outro site, incluído no link e que tira proveito dessa vulnerabilidade e do iOS 11.
A Apple foi informada em 23 de dezembro desta falha, dando uma margem de 3 meses para poder resolver este problema, uma margem não escrita que geralmente é respeitada por empresas de segurança que detectam falhas. Mas vendo como os três meses se passaram e a Apple não fez nada a respeito, a empresa tornou pública essa falha, que detectei no iOS 11.2.1 e que hoje tanto no iOS 11.2.6 quanto na última versão beta do iOS 11.3 ainda está por aí. Embora a Apple resolva essa falha e se você usa regularmente o leitor de código QR integrado à câmera, recomendo que preste muita atenção ao endereço mostrado pelo banner quando ele detecta o código e a web que é aberto posteriormente. Ou, se quiser ficar calmo, use o Chrome, enquanto a Apple corrige o enésimo bug no iOS 11.