L'app Fotocamera di iOS, dalla versione 11 del sistema operativo, è in grado di decodificare i codici QR: basta inquadrarli e compare il testo equivalente.

È una funzione molto comoda, per esempio per indicare un link complicato a un sito, ma ha un difettuccio: è possibile ingannare questa decodifica e farle visualizzare il nome di un sito innocuo mentre in realtà il link porta a un sito ostile. L'articolo continua qui sotto.

https://xxx\@facebook.com:443@infosec.rm-it.de/

e lo ha mostrato alla Fotocamera di iOS, che lo ha decodificato e gli ha chiesto se voleva "aprire ‘facebook.com' in Safari".

Chiaramente questo errore di interpretazione sarebbe usabilissimo per un attacco informatico, per esempio per un furto di password: basta creare un codice QR che visualizzi il nome di un sito nel quale l'utente è abituato a immettere una password (per esempio Google o Instagram o, appunto, Facebook) ma che porti in realtà a un sito-clone, gestito dal ladro di password, che ha la stessa grafica del sito autentico.

L'utente si fida di quello che gli ha mostrato iOS (il nome del sito autentico), non fa ulteriori controlli e così immette la propria password nel sito del truffatore, che se la porta via.

Un altro esempio ancora più semplice è un codice QR che porta a un sito che visualizza il famoso carattere in lingua telugu che blocca gli iPhone non pienamente aggiornati.

La falla dei codici QR è in circolazione da qualche mese, ma c'è una buona notizia: Apple l'ha finalmente corretta il 24 aprile scorso con la versione 11.3.1 di iOS (e anche con la versione 10.13.4 di macOS). Conviene quindi installare questo aggiornamento con la procedura consueta (dopo aver fatto una copia di backup dei propri dati, per sicurezza): Impostazioni - Generali - Aggiornamento software.

Fonte aggiuntiva: Intego.