「iOS 11」に新たな脆弱性が報じられている。
iPhoneは「iOS 11」からデフォルトのカメラアプリでQRコードを読み取ることが可能になっているが、MacRumorsによると、QRコード読み取り時に通知表示されるURLのホスト名が本来通知されるはずのホスト名と異なる不具合があるという。
不具合を発見したのはInfosecの@faker_ Roman(@faker_)氏で、同氏は実際に「Safariでfacebook.comを開く」という通知を生成するQRコードを作成し、誘導先は自身のWebサイトになるデモ動画を公開している。
Apple iOS camera app doesn’t properly parse URLs in QR codes. It shows a different host in the notification than it really opens. As of now still unfixed: https://t.co/EMQk7uBQ9i pic.twitter.com/KE6EwYhj7s
— @faker_ Roman (@faker_) 2018年3月24日
また、同氏によると不具合の原因はカメラアプリがQRコードのURLを適切に解析していないことだと指摘。悪用される可能性を考えてInfosecは2017年12月23日にこの問題をAppleのセキュリティチームに報告しているそうだが、2018年3月24日現在でまだ修正されていないとのこと。