Uma vulnerabilidade foi encontrada no aplicativo de câmera do iOS, que pode ser explorada para redirecionar os usuários para sites mal-intencionados. Conforma relata o The Hackers News, o problema está no leitor de QR Code nativo, que foi introduzido no iOS 11.

O pesquisador de segurança Roman Mueller descobriu que o leitor não consegue detectar o nome do host na URL, o que permite que cibercriminosos manipulem a URL exibida na notificação, levando os usuários a acessarem sites maliciosos ao invés do site correto.

Para testar a sua teoria, Mueller criou um QR Code com a URL “https://xxx\@facebook.com:[email protected]/”. Ao digitalizar o código através da câmera, o iOS mostra a notificação “Abra o ‘facebook.com’ no Safari”; porém, a página que abre é a “https://infosec.rm-it.de/”.

O pesquisador relatou sobre a falha para a Apple em dezembro do ano passado, mas a empresa ainda não corrigiu o bug até o momento.