Sinds de release van iOS 11 heb je geen aparte app nodig om QR-codes te scannen: het kan gewoon vanuit de Camera-app op de iPhone. Nu blijkt dat die app makkelijk om de tuin te leiden is.
Valse QR-codes gemakkelijk te genereren
Je richt de camera op een QR-code en dan verschijnt er een pop-up met daarin de naam van de website die hierachter schuilgaat. Tik je hierop, dan ga je naar die betreffende website. Maar nu blijkt dat je die naam kunt aanpassen, zo heeft Infosec ontdekt. Je kunt bijvoorbeeld een pop-up krijgen waarin staat dat je naar Facebook gaat. Maar tik je er vervolgens op, dan beland je heel ergens anders. Een voorbeeld (het is veilig):
Scan de onderstaande QR-code:
De iPhone 15 Pro: nu tot €500 terug bij inruil van je oude telefoon
• En zonder aansluitkosten t.w.v. €25
• Extra voordeel als je KPN thuis hebt
Je krijgt nu de melding dat je naar Facebook wordt geleid, tik erop:
Je belandt nu echter niet op Facebook, maar op icreatemagazine.nl. Nu is dat natuurlijk gewoon een leuke website. Maar achter de QR-code kan ook zomaar een kwaadaardige website schuilgaan.
Hoe dan?
Gewoonlijk gebruik je om een QR-code aan te maken gewoon de url van de website. Maar gebruik je onderstaande code bij het genereren van de QR-code, dan geeft de melding weer dat je naar Facebook gaat terwijl hij je naar een andere website leidt, namelijk die achter het @-teken:
https://xxx\@facebook.com:443@icreatemagazine.nl/
Infosec geeft aan dat de bug vorig jaar al gemeld is bij Apple, maar tot op heden is er niets aan gedaan.
Praat mee!