Kody QR mogą wyglądać nieszkodliwie, ale są bardziej ryzykowne niż myślisz.
Kody QR są popularne, ponieważ mogą być szybko odczytywane przez urządzenia cyfrowe i sprawiają, że wiele rzeczy jest bardziej praktycznych. Możesz przeglądać strony internetowe, pobierać pliki, a nawet łączyć się z sieciami Wi-Fi, skanując kod QR.
Ale niestety użycie kodów QR stwarza również potencjalne problemy z bezpieczeństwem.
Jakie są niebezpieczeństwa związane z kodami QR?
Ktoś może użyć kodów QR do atakowania zarówno interakcji międzyludzkich, jak i zautomatyzowanych systemów. Aby zachować środki ostrożności, rozważ kilka przykładów.
Atak typu SQL Injection
SQL Injection to wektor ataku wykorzystywany przez hakerów do atakowania aplikacji opartych na bazach danych. Za pomocą tej metody mają na celu kradzież danych w bazie danych.
Aby podejść do tego z perspektywy kodu QR, wyobraź sobie scenariusz, w którym oprogramowanie do dekodowania QR łączy się z bazą danych i wykorzystuje informacje z kodu QR do wykonania zapytania. Jest też a
Podatność na iniekcję SQL. W takim scenariuszu czytnik kodów QR może uruchomić zapytanie bez sprawdzenia, czy pochodzi ono z uwierzytelnionego źródła. W ten sposób haker może wykraść informacje z bazy danych.To nie jest ani tak trudne, ani tak zawiłe, jak się wydaje. Podczas skanowania kodu QR w czytniku kodów QR wyświetlane jest łącze. Modyfikując parametry adresu URL, możliwe jest przeprowadzanie ataków typu SQL injection. Adres URL, na który przekierowuje Cię skaner kodów QR, może oczywiście umożliwiać przeprowadzenie takiego wektora ataku.
Wstrzyknięcie polecenia
W metodzie wstrzykiwania poleceń osoba atakująca może wstrzyknąć kod HTML, który modyfikuje zawartość strony. Za każdym razem, gdy użytkownik odwiedza zmodyfikowaną stronę, przeglądarka internetowa interpretuje kod, co skutkuje wykonaniem złośliwych poleceń na urządzeniu, na którym użytkownik skanuje kod QR. Innymi słowy, jest to sytuacja, w której dane wejściowe z kodu QR są używane jako parametr wiersza poleceń.
W takim przypadku atakujący może po prostu wykorzystać sytuację, zmieniając kod QR i uruchamiając dowolne polecenia na maszynie. Atakujący może użyć tej metody do przeprowadzania ataków typu rootkit, spyware i DoS, a także do łączenia się z odległym komputerem i uzyskiwania dostępu do zasobów systemowych.
Inżynieria społeczna
Inżynieria społeczna to ogólna nazwa manipulowania ludźmi w celu uzyskania nieautoryzowanego dostępu do ich poufnych informacji. Hakerzy używają tej metody do kradzieży informacji lub włamania się do systemu. Phishing jest jedną z taktyk najczęściej używane.
W przypadku phishingu osoby będące celem ataków są zmuszane do klikania lub odwiedzania fałszywych witryn internetowych. Kody QR są naprawdę przydatne w tej pracy, ponieważ użytkownik nie może zrozumieć, do której witryny się udać, patrząc na kod QR.
Wyobraź sobie, że logujesz się do witryny, która wygląda tak samo jak witryna taka jak Twitter i ma podobny adres URL. Jeśli wpiszesz tutaj swoje dane logowania, myląc je z Twitterem, możesz stracić swoje konto na rzecz hakera.
Jak unikać niebezpiecznych kodów QR
Na początku działań, które można podjąć przeciwko atakom dokonywanym przez hakerów za pomocą kodów QR, na pierwszym miejscu jest osoba, która jest najsłabszym ogniwem w łańcuchu bezpieczeństwa. Innymi słowy, użytkownik powinien bardziej uważać na ataki socjotechniczne i nie powinien skanować kodów QR, których źródło jest nieznane. Ponieważ ludzie nie potrafią czytać kodów QR, może być trudno wiedzieć, którym ufać. Dlatego warto używać bezpiecznych czytników kodów QR.
Aktualizuj system operacyjny swojego urządzenia mobilnego i korzystaj z aplikacji do bezpiecznego odczytu kodów QR. Wiele nowoczesnych urządzeń mobilnych ma wbudowany czytnik kodów QR w swoich aparatach. Jednak posiadanie aplikacji kodu QR na urządzeniu mobilnym, która pozwala użytkownikom sprawdzić adres URL przed odwiedzeniem go, daje im możliwość zweryfikowania źródła adresu URL, do którego mają uzyskać dostęp. Ta kontrola bezpieczeństwa nie jest możliwa w przypadku kodów QR, które nie zawierają żadnych informacji towarzyszących. Dlatego wszystkie aplikacje do odczytywania kodów QR muszą wyświetlać użytkownikowi zdekodowany adres URL przed otwarciem łącza i prośbą o potwierdzenie.
Zbadaj oprogramowanie do generowania kodów QR
Walidacja generator kodu QR a testowanie integralności danych będzie służyć jako środek przeciwko możliwym oszustwom, atakom SQL injection i Command Injection. Ważna jest standaryzacja i integracja podpisów cyfrowych do uwierzytelniania za pomocą kodu QR oraz weryfikacja, czy kod QR został zmieniony, czy nie. Podpisy cyfrowe znacznie komplikują ataki oparte na kodzie QR, ponieważ wymagają od atakującego zmodyfikowania sumy kontrolnej, a tym samym zmiany procesu weryfikacji.
Nie należy polegać na licznych generatorach kodów QR, które można znaleźć w Internecie. Zwróć uwagę na technologię i firmę stojącą za tymi generatorami.
Uważaj na niebezpieczne adresy URL
Przekierowywanie odwiedzających na niezaufane adresy URL to jeden z najpopularniejszych ataków wykorzystujących kod QR, który może prowadzić do prób phishingu i przesyłania złośliwego oprogramowania, takiego jak wirusy, robaki i trojany. Aby zabezpieczyć wiarygodność materiałów online przed takimi atakami, niezwykle ważne jest sprawdzenie poprawności legalność treści poprzez określenie, czy program czytnika kodów QR może odróżnić fałszywe od autentycznych adresy URL.
Uważaj na kody wykonywalne
Aby kody wykonywalne lub polecenia zeskanowane przez kod QR nie miały dostępu do zasobów urządzenia skanującego, konieczne jest wyizolowanie zawartości kodu QR. Izolowanie zawartości może pomóc w zapobieganiu atakom, takim jak naruszenie prywatności, dostęp do danych osobowych i używanie urządzenia skanującego do celów ataki takie jak DDoS i botnety. Najprostszą metodą jest zablokowanie dostępu aplikacji, w tym aplikacji skanujących kody QR, do zasobów urządzenia skanującego (takich jak aparat, książka telefoniczna, zdjęcia, informacje o lokalizacji itp.).
Używaj kodów QR, ale ostrożnie
Wraz z szybkim rozwojem technologii kody QR stały się częścią naszego codziennego życia. Możesz zmniejszyć ryzyko związane z kodami QR, używając ich mądrze i podejmując działania.
Zachowaj ostrożność podczas skanowania kodów QR spotykanych w Internecie lub w prawdziwym otoczeniu. Korzystaj z renomowanych programów i chroń swoje urządzenia za pomocą aktualnego oprogramowania antywirusowego. Dobrym pomysłem jest również nieskanowanie kodów QR z podejrzanych lub niewiarygodnych witryn oraz nieudostępnianie danych osobowych.
