Beim Parsen der URL scheint aber etwas schief zu gehen, denn es wird immer seine eigene Webseite, unabh\u00e4ngig von der URL im QR-Code ge\u00f6ffnet. Es kommt zwar eine Benachrichtigung, dass facebook.com erkannt wurde. Aber es wird dann seine Webseite im Safari ge\u00f6ffnet. <\/p>\n
Erst vermutete er eine Umleitung (Redirection) durch Facebook. Aber das ist nicht der Fall, wie er in seiner Analyse zeigt. Beim Scannen des QR-Codes mit der Kamera-App von iOS 11.2.1, wird die im QR-Code hinterlegte URL im Format:<\/p>\n
geliefert. Die Adresse seiner eigenen Webseite ist da wohl mit integriert, da auf dem iOS-Ger\u00e4t konfiguriert. F\u00fcr die Benachrichtigung wird noch der korrekte Teil der URL mit facebook.com herausgezogen. Im ge\u00f6ffneten Safari-Tab verwendet die Browser-App aber wohl den letzten Teil der URL, der auf die konfigurierte Homepage verweist. Die QR-Code-App ist weitgehen nutzlos. Er vermutet, dass die App den Teilstring xxx\\ als Nutzernamen interpretiert und den String xxx\\@facebook.com : 443 als login-Daten an die in der URL angeh\u00e4ngte Webseite schickt. <\/p>\n
Der Fehler wurde bereits am 23. Dezember 2017 an Apple gemeldet. Bis zum 24. M\u00e4rz 2018 ist der Bug noch nicht gefixt. K\u00f6nnte man achselzuckend zur Kenntnis nehmen \u2013 Apple eben. Die Geschichte hat aber einen ernsten Hintergrund, der den Apple-Leuten entgangen zu sein scheint. <\/p>\n
\nNein ich meine nicht den Effekt, den ich mal als junger Mann bei einer Kollision mit einem T\u00dcV-Pr\u00fcfer erlebt habe. Der von mir montierte Nebelscheinwerfer an meiner Rostlaube funktionierte nicht. Also ich dem Pr\u00fcfer mitteilte: 'Ist doch kein Problem, das Teil ist nicht vorgeschrieben und wird nicht gebraucht', meinte dieser: 'Was angeschraubt ist, muss funktionieren, sonst gibt es die Plakette nicht'. Also habe ich auf der Pr\u00fcfstelle die Scheinwerfer schnell abgebaut, w\u00e4hrend der Pr\u00fcfer unter dem Wagen werkelte \u2013 und erhielt, da sonst keine M\u00e4ngel gefunden wurden, die Plakette. Ist mir im Ged\u00e4chtnis h\u00e4ngen geblieben, weil 'meine Theorien' damals so gar nicht mit den Vorstellungen dieses Pr\u00fcfers kompatibel waren. <\/p>\n
Die Episode ist mir in den letzten Jahren h\u00e4ufig im Bereich Software-Entwicklung ins Auge gesprungen. Gut, es gibt keinen verpflichtenden Software-T\u00dcV. Aber die SW-Entwickler scheinen h\u00e4ufig auf dem Pfad 'Die Funktion xyz geht nicht, kein Problem, ist ja eh kein Kernfeature, ist zwar dabei, brauchen wird aber nicht und wird auch nicht gefixt' unterwegs zu sein. <\/p>\n<\/blockquote>\n
Die im QR-Code versteckte URL der Art <\/p>\n
https: \/\/ xxx\\@facebook.com : 443 @ infosec.rm-it.de\/ <\/p>\n
bietet nat\u00fcrlich jede Menge Potential f\u00fcr Missbrauch. Cyber-Kriminelle k\u00f6nnten URLs in QR-Code verstecken, der die Leute im hinteren Teil der URL auf b\u00f6sartige Webseiten umleitet (diese F\u00e4lle gab es ja schon \u2013 Plakate wurden mit gef\u00e4lschten QR-Codes, die auf Malwareseiten verwiesen, \u00fcberklebt). <\/p>\n
Ich denke aber, dass sich da jetzt was bewegt, da die gr\u00f6\u00dferen US-Medien dar\u00fcber berichten. Frage: Jemand von euch, der den Bug nachvollziehen kann?<\/p>\n","protected":false},"excerpt":{"rendered":"
Die Kamera-App von iOS kann wohl automatisch QR-Codes \u00fcber die Kameras eines iPhone oder iPad erfassen. Leider gibt es ein Problem: Beim Scannen und anschlie\u00dfendem Auswerten der im QR-Code enthaltenen URL gibt es einen Bug.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1440,440,426],"tags":[419,4330,4344,4328],"class_list":["post-202640","post","type-post","status-publish","format-standard","hentry","category-app","category-ios","category-sicherheit","tag-bug","tag-ios","tag-kamera","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/202640","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=202640"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/202640\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=202640"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=202640"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=202640"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2012\/07\/Apple.jpg\")
Die Kamera-App von iOS kann wohl automatisch QR-Codes \u00fcber die Kameras eines iPhone oder iPad erfassen. Leider gibt es ein Problem: Beim Scannen und anschlie\u00dfendem Auswerten der im QR-Code enthaltenen URL gibt es einen Bug. <\/p>\n![\"Benachrichtigung](\"https:\/\/i.imgur.com\/UcjnbQ5.jpg\" "\\"Benachrichtigung")
![\"Analyse](\"https:\/\/infosec.rm-it.de\/wp-content\/uploads\/2018\/03\/apple.gif\"\/ "\\"Analyse")
(Quelle: Robert Mueller rm-it.de)<\/p>\n