常规Camera应用程序中的QR码扫描功能遇到一个奇怪的解析器错误。扫描时，特制的QR码可能会将用户带到恶意网站，而不是通知横幅中显示的任何底层URL。

正如Infosec在一份新报告中所详述的那样，iOS 11的QR码解析器中存在一个错误，该错误使普通的Camera应用可以自动扫描QR码并对其进行解释。

教程： 如何使用iPhone的摄像头快速加入Wi-Fi网络

问题是，特制的QR码将在通知横幅中显示不可信的主机名，但在Safari中打开另一个URL。

您可以通过在iOS 11上使用库存的Camera应用程序扫描下面嵌入的QR码来进行尝试(注意：必须在Settings(设置)→Camera(相机)中启用Scan QR Code)。

扫描代码后，通知横幅中会显示“在Safari中打开'facebook.com'”消息，但点击该消息将打开网站https://infosec.rm-it.de/。

事实证明，这可以通过在格式HTTPS嵌入的URL来实现：// XXX \ @ facebook.com：443@infosec.rm-it.de /其中解析器将显示第一个网址，但该通知实际上会带您到另一个URL。

第三方QR码阅读器也容易受到此问题的影响。

实际上，其中某些应用实际上在扫描代码后立即自动打开链接，使您面临更大的风险。其他第三方QR码扫描仪可能会崩溃。

此问题已于2017年12月23日报告给Apple安全团队，但至今尚未修复。既然Apple Blogosphere强调了这个潜在的严重漏洞，Apple有望尽快发布修复程序。

iOS 11上的Camera应用程序可以识别各种QR代码，包括HomeKit设置代码，联系人，日历，地图，消息，网络设置，网站，回调URL等。