iOS 11相机二维码解码器识别功能存在漏洞

为方便用户扫描二维码苹果已经自iOS 11版开始在相机应用里内置识别功能无需用户使用其他应用再去扫描。不过有研究人员发现其内置的解码器存在某些问题，该问题可导致相机显示的地址与浏览器打开的地址不同。演示中研究人员构造特定的网址再生成静态的二维码，然后iOS 相机进行扫描时识别网站为Facebook.com。但当用户点击提示使用Safari浏览器打开时就会发现地址变成其他网址，具体请看研究人员制作的演示：
目前该研究人员已经公布制作这类欺骗性网址的方法，原因则是漏洞已经上报给苹果但苹果至今未修复漏洞。按行业惯例来看超过 90 天仍然未修复漏洞那么安全人员就可以公布漏洞细节，如今这个漏洞已经超过90天。
地址的构造方法：

https://xxx\@taobao.com:[email protected]/

造好这个地址后使用二维码生成器生成二维码即可，使用iOS相机扫描时就会出现显示和跳转的地址不同。