QRコード
2005年4月15日(金曜日)
QRコード
更新: 2005年4月15日
「JVN#9ADCBB12 携帯電話端末における特定 QR コードを使用したサイト接続時の問題 (jvn.jp)」というものが公開されていますね。「バーコード (2次元コード) リーダーご利用にあたっての注意点 (www.au.kddi.com)」を見ると URL が 2行出るようですが、それって本来の動作なのでしょうか。QR コードが読める携帯端末なんて使ったことがないもので……。
根拠は全くありませんが、QR コードの URL を表示する画面に XSS があって、URL に "> などを含ませるとこういうことが起きたりするのかな、と想像しました。
※2005-04-15追記: 高木さんの解説が bugtraq-jp に投稿されています : 「au携帯電話のバーコードリーダでジャンプ先URLが偽装される (www.securityfocus.com)」。DoCoMo 用のブックマーク登録機能に中途半端に (?) 対応していたのが原因で、"MEBKM:TITLE:http://www.au.kddi.com/;URL:http://i.nttdocomo.co.jp/;;" などという文字列を喰うと TITLE:http://www.au.kddi.com/ がタイトルとして表示されつつ URL:http://i.nttdocomo.co.jp/ にリンクしたようです。修正版は DoCoMo 用のブックマーク登録機能に対応しなくなった模様。QRコードの仕様とか勉強しないとなぁ……。
- 「QRコード」にコメントを書く
