Vorsicht vor Phishing-Links: Sicherheitslücke in iOS QR-Code Reader noch nicht behoben
Wer QR-Codes die Links zu Webseiten enthalten mit der Kamera App seines iPhones oder iPads scannt muss vorsichtig sein: Eine seit Ende letzten Jahres bekannte Sicherheitslücke des QR-Code Readers wurde von Apple bis heute noch nicht geschlossen.
Darauf weist der Wordpress-Blogs infosec hin und demonstriert den Bug mit einem praktischen Beispiel. In einem QR-Code kann man eine Telefonnummer, Adresse und andere Informationen wie z. B. den Link zu einer Webseite ablegen. Durch einfaches Scannen mit der Kamera erhält man auf dem Display die gewünschten Daten angezeigt, bei einer URL erfolgt die Weiterleitung zu Safari. Bis zum Release von iOS 11 war zum Auslesen von QR-Codes die App eines Drittanbieters notwendig. Mit der aktuellen Version des mobilen Betriebssystems übernimmt diese Aufgabe die Kamera App des iPhones oder iPads.
So weit, so gut. In der Praxis funktioniert Apple's Lösung auch einwandfrei. Ende 2017 wurde allerdings ein Bug bekannt den Betrüger ausnutzen können um im QR-Code einen anderen Link als Ziel zu definieren und so Phishing ermöglicht. Scannt man einen Code erscheint auf dem Display eine Meldung in der das Ziel des Links angezeigt wird. Diese muss man bestätigen und man wird anschließend auf die jeweilige Webseite weitergeleitet. Die QR-Funktion in iOS prüft allerdings nicht, ob der Ziel-Link der mit Safari angesurft wird auch derjenige ist den der Nutzer bestätigen muss.
Bei infosec hat man einen solchen QR-Code gebastelt um den Fehler aufzuzeigen. Nach dem Scannen des Codes kommt die Meldung dass man auf Facebook weitergeleitet wird. Nach der Bestätigung öffnet sich Safari und man landet auf dem Blogartikel von infosec. Zwar hat man bei infosec den Code unter iOS 11.2.1 getestet, wir können den Bug allerdings mit einem aktuellen iOS 11.2.6 reproduzieren. Den QR-Code zum Testen findet ihr in unserer Galerie, ihr könnt das Experiment gefahrlos ausprobieren.
Bis der Bug mit einem iOS-Update gefixt wurde empfehlen wir euch bei gescannten Links unbedingt zu überprüfen ob ihr auf der richtigen Webseite gelandet seid, vor allem wenn es sich um Bankgeschäfte mit Paypal oder eurer Hausbank handelt.
Das könnte dich auch interessieren
Weitere Geschichten aus iOS.
Apple gibt Vision Pro auf: Team aufgelöst, Fokus auf Smart Glasses
Apple hat die Vision-Pro-Produktlinie faktisch aufgegeben. Das spezialisierte Team wurde aufgelöst und die Mitarbeiter auf andere Bereiche verteilt — stattdessen setzt das Unternehmen auf kompakte Smart Glasses mit KI-Funktionen.
iPhone 18 Pro: Die wichtigsten Features im Überblick
Apple bringt im September das iPhone 18 Pro mit einer Reihe neuer Features. Von einem 2nm-Chip über eine kleinere Dynamic Island bis hin zu Satellit-5G – ein Überblick über die gerüchteten Innovationen.
Apple veröffentlicht Betas für iOS, watchOS, tvOS und visionOS 26.6
Apple hat parallel die ersten Developer-Betas für iOS 26.6, iPadOS 26.6, watchOS 26.6, tvOS 26.6 und visionOS 26.6 freigegeben. Zwei Wochen nach der 26.5-Version dienen die Updates primär der Stabilität und Bugfixes.
MacBook Ultra: Apples neues Top-Notebook mit OLED, Touch und 2nm-Chips
Apple plant ein MacBook Ultra als neue Top-Kategorie oberhalb der MacBook Pro-Modelle — mit OLED-Touchscreen, Dynamic Island und M6-Chips.
AirPods Max 2: Over-Ear-Kopfhörer mit H2-Chip für 528 Euro
Die AirPods Max 2 sind aktuell bei Amazon im Deal — mit 51 Euro Rabatt auf die UVP von 579 Euro. Der H2-Chip bringt eine deutlich verbesserte Geräuschunterdrückung und neue Features wie Live-Übersetzung.
Apple plant 15 neue Produkte für Ende 2026
Apple kündigt eine massive Produktflut für das zweite Halbjahr 2026 an – von faltbarem iPhone über MacBook Ultra bis zum neuen Smart-Home-Hub. WWDC 2026 markiert den Start einer neuen Ära.
Kommentare
Sei der Erste, der hier kommentiert.
Du musst angemeldet sein, um zu kommentieren.