Los códigos QR son realmente útiles, y desde iOS 11 los tenemos también en el iPhone y el iPad de forma nativa y sin necesidad de utilizar una app externa. Su funcionamiento es muy sencillo y ya hemos visto cómo pueden ser de enorme utilidad para acceder a una red Wi-Fi por ejemplo. Sin embargo, también se pueden utilizar de forma indebida, por ejemplo para dirigir a páginas maliciosas.

Una vulnerabilidad en iOS 11 permite engañar al usuario con un enlace generado por QR. Funciona de la siguiente forma, la cámara de iOS 11 al enfocar un código QR genera una notificación con la información de ese QR. Si es un enlace de una página web nos aparece una notificación de Safari con el texto de "Abrir ___________ en Safari". Siendo los espacios en blanco el nombre de la página web que se va a abrir. O no.

Notificaciones que pueden inducir a error

Según ha publicado Infosec, se puede cambiar el nombre que aparece en esta notificación para que no sea el nombre de la página que se va a abrir. Para ello el enlace que se crea para el QR no es el nombre de la página en sí, sino una estructura alternativa:

https://xxx\@textoqueparece.com:[email protected]

Aquí tienes un ejemplo rápido con un enlace que según la notificación te lleva a la web de Applesfera pero realmente te lleva a la web de Xataka:

Desde Infosec informaron al equipo de seguridad de Apple del error el pasado 23 de diciembre. …