Les codes QR sont devenus omniprésents dans la vie quotidienne, que vous les aimiez ou non. Mais ils peuvent également présenter un risque pour la sécurité, car vous ne pouvez pas voir en un coup d’œil vers quel site Web ils vous dirigent. Alors que les applications de scanner affichent généralement quelle URL est cachée dans un code QR, l’application Google Camera est apparemment allée plus loin et a essayé de corriger automatiquement les URL qu’elle juge erronées, ce qui a entraîné plus de problèmes que de solutions.

Heureusement, Google a réagi rapidement et a déjà fourni un correctif, quelques jours seulement après l’annonce de l’histoire. La dernière version de Google Camera ne présente plus le problème.

VIDÉO ANDROIDPOLICE DU JOUR

Tel que rapporté et étudié par la publication allemande Heise, Google Camera rencontrait régulièrement au moins trois erreurs distinctes. Le premier s’articule autour de quelques domaines de premier niveau de code de pays (ccTLD), et peu importe si un code QR ne vous dirige que vers un domaine concerné (comme l’autrichien inexistant https://fooco.at) ou s’il renvoie à d’autres répertoires (https://fooco.at/bar/index.htm). Si le deuxième niveau du domaine (fooco) se termine par certaines chaînes, Google Camera insère automatiquement un point, transformant un lien comme https://fooco.at dans https://foo.co.at. Heise a testé d’autres combinaisons et a constaté que le problème existe également pour .au, .br, .hu, .il, .kr, .nz, .ru, .tr, .uk, et .za. Les chaînes affectées à la fin du deuxième niveau incluent co, com, ac, net, org, gouvernement, mil, muni, et édumais non ou, gv, et k12.

Publicité

Code QR Heise interprétant mal Android 12
1 crédit

Le deuxième problème a complètement supprimé certaines chaînes, et encore une fois, seules des chaînes spécifiques sont affectées. Ici, le problème surgit pour les domaines de premier niveau qui sont plus longs que deux lettres (comme le catalan .chat). Heise rapporte que Google Camera avale les ficelles après les deux premiers, transformant quelque chose comme l’adresse du référendum sur l’indépendance de la Catalogne (https://referendum.cat) dans l’adresse canadienne inexistante https://referendum.ca. Le même problème existe pour .int, .pro, .travel, .apple, .bet, .beer, et .amex, avec presque tous ceux-ci étant réduits aux deux premières lettres (.Pomme étant l’exception en se transformant en .app). Le problème affecte également les nouveaux TLD comme .army, .art, .arte, .arab, .audio, .auto et .autos.

Le chercheur en sécurité Adrian Dabrowski a découvert un troisième problème qui affectait les nombres dans le sous-domaine (généralement le www partie). Ici, Google Camera ajouterait une fois de plus arbitrairement un point, transformant des adresses légitimes comme celle de la Banque Royale du Canada. https://www6.rbc.com dans le 404-ing https://www.6.rbc.com. Bien que vous ne devriez probablement pas utiliser un code QR aléatoire pour accéder à votre adresse bancaire en ligne, le problème pourrait être plus pertinent pour des adresses comme celle de New York. https://www1.nyc.gov, en quoi l’appareil photo Google se transforme https://www.1.nyc.gov.

Si vous vouliez vous déchaîner, vous pourriez même combiner l’erreur 3 avec l’erreur 1 ou 2, en transformant des adresses comme https://www2co.at dans https://www.2.co.at.

Galerie d’images (2 images)
Capture d'écran_20220120-163623
Capture d'écran_20220120-163642

Heise cite le chercheur en sécurité Dabrowski qui soupçonne que les problèmes pourraient être liés à un changement controversé introduit dans Chrome. Le navigateur masque les URL complètes dans la barre d’adresse par souci de simplification, en omettant certaines des mêmes parties que Google Camera. Recherchez simplement notre adresse dans la barre d’adresse de Chrome. Vous ne verrez pas https://www.androidpolice.com/ – ce sera androidpolice.com. Bien qu’il soit compréhensible que Google essaie d’économiser autant d’espace que possible lors de l’affichage d’URL sur de petits écrans, ces mesures d’économie d’espace ne devraient pas entraîner de transmission d’erreurs dans votre navigateur, a déclaré Dabrowski.

Cependant, le problème affectait n’importe quel navigateur, donc même si vous aviez, par exemple, Firefox défini comme application de navigation par défaut sur votre appareil Android 12, vous seriez toujours dirigé vers le mauvais lien chaque fois que vous scanniez un code QR à l’aide de Google Camera.

Google Camera lit uniquement les codes QR lorsque vous activez les suggestions de Google Lens dans ses paramètres, ce qui vous permet de « pointer votre appareil photo pour scanner les codes QR et les codes-barres » en utilisant uniquement l’application Google Camera. Curieusement, Heise rapporte que l’application Google Lens elle-même fonctionne très bien pour toutes sortes de codes QR et n’introduit aucune des erreurs.

Le problème pouvait ont été un gros problème, car cela a potentiellement conduit les gens vers des sites Web malveillants créés à dessein pour tirer parti de ces règles de Google Camera. Bien qu’une telle attaque puisse ne pas atteindre trop de personnes, la configuration d’un site Web non réclamé est assez simple, du moins si le domaine en question existe réellement (ce qui n’est pas le cas pour de nombreuses erreurs introduites via Google Camera). Heureusement, la plupart des URL concernées étaient des cas extrêmes, et il est assez peu probable que les propriétaires de Pixel rencontrent régulièrement des adresses comme celles-ci en premier lieu, étant donné que les Pixel ne sont officiellement vendus que dans quelques pays qui ne sont généralement pas affectés par la première erreur. Et les TLD nouvellement inventés comme .auto ou .l’audio sont encore assez rares pour ne pas poser de problème pour le moment.

Heise a pu confirmer ses découvertes avec les Pixel 3 XL, 3a, 4, 4a, 5 et 6 Pro sur Android 12. Un Pixel 3a exécutant Android 11 n’a pas présenté le problème, mais l’a fait après la mise à niveau vers la dernière version du système d’exploitation – nous supposons que cela a également déclenché une mise à jour de Google Camera. Nous pouvons corroborer les découvertes de Heise avec nos propres recherches sur un GooglePixel 6 unité.

Heureusement, Google a travaillé dur pour résoudre le problème rapidement. Consultez le Play Store pour une mise à jour de l’appareil photo vers la version 8.4.400.423370569.19, qui n’introduit plus ces tentatives de corrections. S’il n’est pas encore disponible pour vous, vous pouvez également essayer de le télécharger sur Miroir APK.

MISE À JOUR: 2022/01/22 12:10 EST PAR MANUEL VONAU

Le problème a été résolu

Google a réagi rapidement et a fourni un correctif au problème dans une récente mise à jour de l’application. La couverture a été mise à jour en conséquence.

Merci: Nick et Mikhaïl

Apple Music travaille sur des widgets plus beaux pour votre écran d’accueil

Et quelques indices sur un nouveau service de musique classique

Lire la suite

A propos de l’auteur

615F27E539C8A Malt Profile Compressed

Manuel Vonau (1586 articles publiés)

Manuel est un passionné de technologie et un fan d’Android basé à Berlin. Lorsqu’il n’écrit pas d’articles pour Android Police, il est probablement vidéaste.

Plus de Manuel Vonau

Rate this post
Publicité
Article précédentLes escrocs amoureux ont volé 1,3 milliard de dollars aux victimes au cours des cinq dernières années
Article suivantL’échange de crypto Gate.io entre en 2022 avec plusieurs étapes majeures déjà à son actif : examen
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici