­　　利用這個漏洞，能讓iOS詢問你是不是要打開網址A，但確認后卻打開了網址B。

­　　在 iOS 11 中，有一個新功能非常實用，那就是用相機直接掃描二維碼，這樣就不用打開不同應用再去掃對應的二維碼了。但是今天卻有開發者發現，iOS 11 的這一功能存在漏洞，可能會導致用戶在不知情的情況下被引導至惡意網站。

­　　具體說來，在 iOS 11 上，使用系統自帶的相機掃描二維碼，就能夠自動指向相應的 App 和網頁，如果掃描的是一個嵌入式網站鏈接，那么iOS 就會顯示出網頁鏈接，然后讓您確定是否要訪問它。但是現在，Infosec 發現這個提示存在一個漏洞。

­　　利用 iOS 的這一漏洞，惡意網站可以把自己的鏈接偽裝成一個正常的網址，這樣就能誘導用戶點擊進去了。比如說，Infosec 網站將自己的官網偽裝成 Facebook 的官網 facebook.com ，制作成二維碼之后掃描，iOS 詢問你是不是要在 Safari 中打開 facebook.com，但是點開之后卻是 infosec.rm-it.de 這個網址。

­　　對于這個 bug，Infosec 表示非常好利用，只要你把二維碼包含的網址設置成 https://XXX\@你想偽裝成的網址:443@你的原網址/就行了。比如https：//XXX\@facebook.com：443@infosec.rm-it.de/，就會讓 iOS 顯示 facebook.com，但是帶你去第二個網址。

­　　該網站表示，他們在去年12月23日像蘋果報告了這一漏洞，但直到現在都還沒解決，因為已經過了90天的時限（業界普遍認為發現漏洞的一方要給90天時間讓廠商修復漏洞），所以他們選擇公開這一漏洞，希望蘋果能夠早日解決。