Czy kod QR jest niebezpieczny? Atak phishing'owy za pomocą QR-kodu

21-08-2023 | 10:29
Komentarze (3) 3
Bezpieczeństwo
Czy QR-kod jest niebezpieczny? Czy można zaatakować smartfon za pomocą QR-kodu? Jak się chronić przed szkodliwym kodem QR?

Polecane

Czy kod QR jest niebezpieczny? Czy kod QR jest niebezpieczny?

Witajcie, drogie Czytelniczki i drodzy Czytelnicy bloga informatycznego! Dzisiaj chcę przedstawić Wam ciekawy materiał na temat ataku wykonywanego za pośrednictwem QR-kodu! Wcześniej pisałem o phishing'u, spoofing'u (kliknij tu), jak również i o DDoS-atakach (kliknij tu). Dzisiaj przeczytałem ciekawą publikację o tym jak duża amerykańska organizacja energetyczna stała się celem ataku phishing'owego za pośrednictwem QR-kodu. Tu link do oryginału publikacji. W tym artykule chcę przedstawić Wam moje przemyślenia na ten temat i przestrzec Was przed ewentualnym atakiem za pomocą kodu QR.

Co to jest QR-kod?

...gdyby ktoś jeszcze nie wiedział. QR-kod to, podobnie jak kod kreskowy, taka czcionka za pomocą której koduje się ciąg liter i cyfr.

To jest kod kreskowy:

Przykładowy kod kreskowy Przykładowy kod kreskowy

Tu, akurat, zakodowano wyraz "5906040063515" czyli ciąg cyfr (kod produktu, w tym przypadku jogurtu w opakowaniu 200g).

A to jest QR-kod:

Przykładowy QR-kod Przykładowy QR-kod

Tu, akurat, zakodowałem adres WWW mojego bloga informatycznego czyli https://sergiuszdiundyk.pl.

QR-kod pozwała zakodować znacznie więcej (w porównaniu do kodu kreskowego) informacji na tej samej powierzchni.

Większość aplikacji obsługujących kamerę w nowoczesnych smartfonach posiada funkcję rozpoznawania QR-kodu, czyli podnoszę kamerę smartfona do kodu kreskowego lub QR-kodu i aplikacja od razu rozpoznaje co tam jest zaszyfrowane. Zobaczcie, tylko podniosłem kamerę mojego telefonu do w.w. kodu kreskowego:

Zdjęcie kodu kreskowego Zdjęcie kodu kreskowego
i to samo do QR-kodu:
Zdjęcie QR-kodu Zdjęcie QR-kodu

Czy QR-kod jest niebezpieczny?

Sam w sobie QR-kod nie jest niebezpieczny. Jak wytłumaczyłem wyżej, QR-kod to tylko czcionka, za pomocą której w sposób graficzny można zapisać ciąg znaków, na przykład adres WWW strony internetowej.

Problem tkwi, jak i większości zagadnień cyberbezpieczeństwa, w użytkowniku. Jeśli ktoś z braku wiedzy lub poprostu nie zastanawiając się klika w cokolwiek, no to oczywiście można kliknąć w pułapkę zapisaną w postaci adresu URL szkodliwej strony internetowej (na przykład, zawirusowanej albo proponującej wpisać hasło do konta bankowego itd).

To nie QR-kod jest problemem, tylko brak wiedzy i czujności użytkowników dzisiejszych smartfonów i komputerów. Za pomocą kodu QR można zapisać odnośnik do strony internetowej, ale to samo można zrobić długopisem na kartce papieru, albo wysłać SMS'em, albo mailem.

Czy można zaatakować smartfon za pomocą QR-kodu?

Tak. Za pomocą QR-kodu można zaatakować... użytkownika, ale nie smartfon. Za pomocą kodu QR można podstawić użytkownikowi link do złośliwej strony internetowej lub, co jeszcze lepiej, do pobrania złośliwej aplikacji, i skłonić użytkownika do dokonania szkodliwej lub niebezpiecznej czynności (chociażby do kliknięcia w złośliwy odnośnik, a po kliknięciu już wiele może się dziać).

Mogą być stosowane wyrafinowane techniki, kiedy QR kod eksploatuje lukę w oprogramowaniu konkretnego telefonu, ale to są rzeczy bardzo specyficzne.

Jak się chronić przed szkodliwym kodem QR?

W celu zapewnienia bezpieczeństwa nigdy nie warto klikać w odnośniki zakodowane w kodach QR. Za każdym razem kiedy chcemy skorzystać z kodu QR, najpierw trzeba go zeskanować za pomocą oprogramowania które na pewno nie wysyła tego kodu do sieci, nie zapisuje w pamięci (w celu późniejszego wysłania), ani nie ładuje samoczynnie strony zapisanej w kodzie QR. Dopiero po ręcznym sprawdzeniu że QR kod nie zawiera żadnych parametrów w HTTP zapytaniu GET, tylko czysty adres URL - wtedy można skopiować rozkodowany adres URL do schowka i wkleić do linii adresu w przeglądarce z uprzednio wyczyszczoną historią.

Skanując kod QR np w komunikacji miejskiej, w restauracji (np. menu) albo w sklepie - potencjalnie narażamy się na niebezpieczeństwo. Jeśli w rozkodowanym kodzie QR jest zawarty przynajmniej jeden nieczytelny GET-paramater, warto zrezygnować z kliknięcia w taki kod albo z używania go w dowolniej aplikacji (nawet takiej jak opłata przejazdu komunikacją miejską - dla bezpieczeństwa wybierz bilet papierowy albo kup bilet miesięczny). Wybór należy to Ciebie: albo komfort albo bezpieczeństwo.

Odnośnik do strony internetowej z reguły składa się z adresu strony i parametrów (tak zwane GET-parametry).

Czysty adres głównej strony:

  
	https://sergiuszdiundyk.pl
  

Czytelny adres tej publikacji:

  
	https://sergiuszdiundyk.pl/czy-kod-qr-jest-niebezpieczny
  

Ta czy-kod-qr-jest-niebezpieczny część jest parametrem. W tym, akurat, przypadku jest to czytelny adres wybranej strony.

To adres www, ale zawiera mniej czytelny parametr:

  
	https://sergiuszdiundyk.pl/search/s?s=Q28lMjB0byUyMGplc3Q%3D&page=1
  

Największe niebezpieczeństwo składają takie oto nieczytelne parametry: Q28lMjB0byUyMGplc3Q%3D. Parametry te moga być niebezpieczne, ponieważ nie wiemy co tam jest zaszyfrowane. Akurat w tym przypadku nic szkodliwego nie ma, ale w innych przypadkach taki nieczytelny ciąg znaków zaszyfrowany w QR-kodzie może słono kosztować.

One mogą zawierać unikatowy identyfikator Twojego telefonu albo miejsca w którym się znajdujesz, czyli klikając w taki odnośnik jest prawdopodobieństwo wysłania do sieci Twojej lokalizacji (to nie ma nic wspólnego z włączoną lub wyłączoną funkcją lokalizacji w Twoim smartfonie) wraz z unikatowym identyfikatorem Twojego telefonu.

Jak sprawdzić czy QR-kod jest bezpieczny?

Oto przykład z życia wzięty. Dzisiaj coś kupowałem w Carrefour'ze i dostałem taki oto paragon:

QR-kod z Carrefour'a QR-kod z Carrefour'a

Na odwrotnej stronie paragonu znajduje się jakiś QR-kod, czyli Carrefour'owcy są bardzo mili i grzeczni, chcą zaprezentować mi coś bardzo ważnego i wyjątkowego...

A tak na serio, zeskanowałem ten kod aplikacją kamery (o której wspominałem wyżej) w moim smartfonie:

QR-kod z Carrefour'a QR-kod z Carrefour'a

Część QR-kodu i część zeskanowanych znaków zablurowałem ze względów bezpieczeństwa.

Otóż, jak sugeruje napis na paragonie, Carrefour chce ode mnie coś kupić za 5 zł. Ale co? Przecież nic nie sprzedaję! Otóż, moi drodzy, zapłaciłem za ten koszyk kartą (i, właśnie, z tego powodu zamalowałem część kodu), a w kodzie widnieje się unikatowy kod: 4369f2c...

Czyli jeśli wejdę na wskazaną stronę internetową, to system zbierający statystyki, najprawdopodobniej, wygeneruje raport zawierający kwotę, datę, ewentualnie moje dane osobowe (ponieważ da się to wyciągnąć z transakcji), a pozatym zapiszą moją lokalizację i spróbuje zidentyfikować mój telefon i przeglądarkę. Jak widać z napisu na paragonie, Carrefour zaproponuje mi wypełnić jakąś ankietę. Czyli chcą odkupić ode mnie wszystkie w.w. dane (w tym te pozyskane z paragonu, z transakcji, z telefonu, z przeglądarki, z adresu IP) za 5 złotych. Ja dziękuję.

Pierwsza rzecz którą robię w celu zbadania QR-kodu - sprawdzam czy na telefonie mam wyłączony internet, czy nie mam uruchomionych innych aplikacji mających dostęp do kamery i skanuję kod kamerą telefonu (w moim telefonie sprawdzałem czy aplikacja kamery próbuje cokolwiek wysyłać do sieci, czy nie ma zbędnych uprawnień). Jeśli w aplikacji kamery po rozszyfrowaniu QR-kodu widzę jakiekolwiek ciągi znaków których nie znam lub nie umiem jednoznacznie odczytać/zrozumieć - daruję sobie taki QR-kod. Jeśli po ręcznej weryfikacji mam pewność że kod nie zawiera dziwnych znaczków, to kopiuję go do schowka i wklejam w przeglądarce z wyczyszczoną historią w trybie incognito (po czym do schowka kopiuję coś innego, losowo).

Każdy z nas ma do wyboru - komfort albo bezpieczeństwo. Tego wyboru dokonujemy wielokrotnie i codziennie.

W celu uzupełnienia wiedzy na temat bezpieczeństwa Twojego telefonu polecam zapoznać się z publikacją na temat bezpieczeństwa smartfonów (kliknij tu).

Serdecznie zapraszam do komentowania tego artykułu! Formularz z komentarzami znajduje się niżej.

Dbaj o siebie i o bezpieczeństwo Twoich sprzętów cyfrowych!

Jeśli znalazłe[-a]ś w tekście, literówkę, błąd stylistyczny albo inny błąd językowy - bardzo proszę o napisanie poprawki w komentarzu pod artykułem albo przez formularz kontaktowy. Dziękuję!

Autor artykułu: Sergiusz Diundyk.

Komentarze

Iwo
02-02-2025 | 10:00
Witam otrzymałam niby kartę VIP ,i chciałabym jom sprawdzić, ale nie umiem nie znam się na tym ,ma kod gr ,boję się sprawdzać, kto może mi pomóc, gdzieś mam się udać, czytałam artykuł, ale dla mnie to za dużo wiedzy ,jak mówi mój mąż dla blondynki niezrozumiałe pozdrawiam .
Sergiusz Diundyk
05-02-2025 | 19:25
Witam, u większości nowoczesnych smartfonów aplikacja Aparat/Kamera rozpoznaje QR-kody i podświetla odszyfrowany kod. Poza tym, są aplikacje na Android, iOS itd rozpoznające QR kod. Najważniejsze - rozpoznać go, ale nie klikać, najpierw przeanalizować co tam jest w tym kodzie po odszyfrowaniu. Owszem, rozpoznanie może być trudne dla osoby spoza IT. W każdym razie, proszę nigdzie nie wklejać tego QR kodu, ani odszyfrowanych danych z niego. Kluczowe jest co to za karta, jeśli to jakiś zaufany dostawca (w pracy, od znanej marki w sklepie itd) - raczej powinno być wszystko OK. Natomiast jeśli to jakiś nieznany dostawca, to bym się zastanowił.
 Dodaj odpowiedź 
Twoja odpowiedź:

 Oświadczam że przeczytałe[-a]m Regulamin i akceptuję go w całości i bezwarunkowo.
 
Imię lub pseudonim
 
Twój komentarz
Wyślij odpowiedź
 Dodaj odpowiedź 
Twoja odpowiedź:

 Oświadczam że przeczytałe[-a]m Regulamin i akceptuję go w całości i bezwarunkowo.
 
Imię lub pseudonim
 
Twój komentarz
Wyślij odpowiedź
Marek
19-02-2024 | 16:46
QR kod to jest jak zwykłe hiperłącze. Należy traktować QR kod jak każde inne hiperłącze. Klikamy tylko jeśli znamy skąd pochodzi, jeśli ufamy na 100%.
 Dodaj odpowiedź 
Twoja odpowiedź:

 Oświadczam że przeczytałe[-a]m Regulamin i akceptuję go w całości i bezwarunkowo.
 
Imię lub pseudonim
 
Twój komentarz
Wyślij odpowiedź
Dodaj nowy komentarz:

 Oświadczam że przeczytałe[-a]m Regulamin i akceptuję go w całości i bezwarunkowo.
 
Imię lub pseudonim
 
Twój komentarz
Wyślij komentarz
Zoom
Ok