pulsa-logo

Bisa Akses Situs Berbahaya, Bug iOS ini Patut Diwaspadai


Nariswari

Selasa, 27 Maret 2018 • 20:36

Apple, Bug iOS, Bug iOS 11


iPhone 8 Plus (Sumber: PULSA)iPhone 8 Plus (Sumber: PULSA)

Sebuah temuan bug terbaru mengungkap adanya kerentanan dalam aplikasi kamera iOS. Bug di kamera pemindai QR code ini bisa menyebabkan pengguna tanpa sadar mengakses situs-situs berbahaya.

Seorang peneliti keamanan bernama Roman Mueller dari Infosec baru-baru ini menemukan adanya celah keamanan pada fungsi pemindaian QR code yang akan mengarahkan perangkat untuk mengakses situs berbahaya namun disamarkan seperti sebuah situs yang aman.

Mueller memberikan contoh bug yang bermasalah di mana kode QR yang dipindai iPhone menampilkan tautan ke Facebook.com melalui browser Safari, akan tetapi sebenarnya mengirim pengguna ke situs berbahaya.

Jika Anda memindai kode QR  dengan aplikasi kamera iOS (11.2.1), maka  akan menampilkan pemberitahuan berbunyi “Buka ‘facebook.com’ di Safari.” Namun saat pengguna memutuskan untuk melanjutkan, tautan yang terbuka justru https://infosec.rm-it.de/

Kejanggalan ini terjadi lantaran pembuat QR Code tersebut menggunakan tautan “https: // xxx \ @ facebook.com: 443@infosec.rm-it.de/”. Ada kemungkinan  "xxx \" telah salah dikenali sebagai nama pengguna untuk dikirim ke "facebook.com:443".

Sementara Safari mungkin mengambil string lengkap "xxx \ @ facebook.com" sebagai nama pengguna dan "443" sebagai kata sandi untuk dikirim ke infosec.rm-it.de. Pengguna mana pun yang memindai kode akan melihat perintah yang akan menyarankan mereka untuk membuka ke Facebook, dan malah berakhir di situs web Infosec.

Tidak sulit membayangkan bagaimana hal  ini dapat digunakan untuk mengalihkan pengguna ke situs web penipuan atau malware yang berbahaya. Bug yang berada di  QR code kamera iOS ini  tentu  terkait dengan kerentanan keamanan, terutama karena kode tersebut dapat digunakan untuk  “mengelabui”  pengguna.


Lebih ngerinya lagi, siapa pun dapat dengan mudah membuat  QR code semacam itu dan kemudian menyebarkannya baik secara fisik atau melalui situs web  yang memungkinkan  untuk meng-hosting gambar dan tautan yang cukup meyakinkan. Trik ini dapat menipu pengguna agar berpikir mereka akan menuju situs yang aman bahkan jika mereka  selama ini sudah cukup waspada untuk tidak mengklik tautan Bitly.

Menurut Mueller, dirinya sudah  memberi tahu Apple tentang bug  berbahaya tersebut kepada Apple pada tanggal 23 Desember 2017 lalu. Sayangnya, bug itu masih belum  juga diperbaiki atau dicarikan solusinya  hingga hari ini. (Nariswari/Galing)

Sumber: Gizmodo