「iOS 11」標準カメラアプリのQRコード読み取り機能にバグ、表示されるURLとリンク先のウェブサイトを異なるものに設定可能

by Xavier Wendling

iOS 11では標準のカメラアプリでQRコードを読み取ることができるようになったのですが、そのQRコード読み取り機能に脆弱性が見つかっており、表示されたリンク先とは異なるウェブサイトにユーザーをリダイレクトしてしまう可能性があると報じられています。

iOS camera QR code URL parser bug | infosec.rm-it.de
https://infosec.rm-it.de/2018/03/24/ios-camera-qr-code-url-parser-bug/

QR Code Bug in Apple iOS 11 Could Lead You to Malicious Sites
https://thehackernews.com/2018/03/ios-qr-code-camera.html

2017年9月に登場したiPhone・iPad・iPod touch向けの最新OS「iOS 11」では、標準カメラでQRコードの読み取りが可能となっています。それ以前はサードパーティー製のQRコードリーダーアプリなどをインストールしなければいけませんでした。標準カメラでQRコードを写した場合、QRコードにURLが含まれているなら画面上部にリンク先のウェブサイトを知らせる通知が表示され、これをタップするとSafariでアクセスできるようになっています。

しかし、通知エリアに表示されたURLとは異なるURLに飛ばすことが可能であることをセキュリティ研究者のローマ・ミュラー氏が発見しています。ミュラー氏によると、iOSの標準カメラアプリに内蔵されているQRコードリーダー機能のURLパーサーはURLのホスト名を検出することができないそう。この点を悪意のある者が利用すれば、通知内に表示されるURLと実際にSafariで開くURLとを別のものにすることが可能であるとのことです。

以下の画像はミュラー氏が作った概念実証用のGIF画像。QRコードを読み取った際には通知に「facebook.com」と表示されるのですが、実際にアクセスしてみるとFacebookとは異なるサイトへ飛ばされます。実証では悪意のないサイトへリダイレクトしていますが、ハッカーなどが悪質なサイトへユーザーを誘導することためにこのQRコードの脆弱性を利用することは十分に可能というわけです。


iOS 11がインストールされている端末を持っている人は、実際に以下のQRコードを読み取ることで脆弱性を体験することも可能。通知には「"facebook.com"をSafariで開く」と表示されますが、アクセス先はミュラー氏の用意したウェブページです。

なお、上記のQRコードは以下のURLで作成したものだそうです。以下のURLから作成したQRコードを読み取ると、通知上には「"facebook.com"をSafariで開く」と表示されるものの、タップするとミュラー氏の用意したウェブページ(https://infosec.rm-it.de/)が開く模様。

https：// xxx \ @ facebook.com：[email protected]/

実際、GIGAZINE編集部にあるiOSのバージョンが「11.2.6」のiPhone Xでも同じようにカメラアプリでQRコードを読み取ってみたところ、通知には「"facebook.com"をSafariで開く」と表示されるものの、URLとは別のウェブサイトへ飛ばされることが確認できました。

なお、ミュラー氏は2017年12月にQRコード読み取りに関する脆弱性をAppleに報告したそうですが、記事作成時点になってもバグは修正されていません。