Komoly biztonsági hiba érintette a Google kamera alkalmazását

 

A heise.de jelentése súlyos, QR-kódokat érintő biztonsági hibákra hívta fel a Google figyelmét, amely több mobil készüléket is érint, többek között az Android 11 és 12 rendszerű Pixel mobiltelefonokat és egyes OnePlus készülékeket.

A sérülékenység lényege, hogy a Google Android Pixel telefonokon használt kameraalkalmazás meghamisítja a QR-kódokból származó http(s) hivatkozásokat. A Google algoritmusa hamis pontokat helyez el a domain nevek második részében, mielőtt azt továbbítaná a böngészőben való megnyitáshoz, esetenként még ki is töröl egyes karaktereket a hivatkozások végén, illetve a „www” karakterláncot követő domain nevekben a számjegyeket külön szintre tolja el, például a https://www1.nyc.gov helyett https://www.1.nyc.gov lesz az URL. Biztonsági szempontból ez azért veszélyes, hiszen a Google algoritmusa akár adathalász oldalakra is átirányíthatja a felhasználókat, emellett a QR-kódokból vett időpontok is teljesen rosszul kerülhetnek a naptárba.

A Google idő közben adott ki frissítéseket az érintett készülékekére, így a kamera előhívásakor értesítés jelenik meg a frissítésről, valamint a Play Áruházból is elérhető már a QR-kódok kiértékelésének hibáit javító frissítések.

(heise.de)