Czy kod QR jest niebezpieczny? Atak phishing'owy za pomocą QR-kodu

• Prywatność
• Bezpieczeństwo w sieci
• Sieć
• WEB

Czy kod QR jest niebezpieczny?

Witajcie, drogie Czytelniczki i drodzy Czytelnicy bloga informatycznego! Dzisiaj chcę przedstawić Wam ciekawy materiał na temat ataku wykonywanego za pośrednictwem QR-kodu! Wcześniej pisałem o phishing'u, spoofing'u (kliknij tu), jak również i o DDoS-atakach (kliknij tu). Dzisiaj przeczytałem ciekawą publikację o tym jak duża amerykańska organizacja energetyczna stała się celem ataku phishing'owego za pośrednictwem QR-kodu. Tu link do oryginału publikacji. W tym artykule chcę przedstawić Wam moje przemyślenia na ten temat i przestrzec Was przed ewentualnym atakiem za pomocą kodu QR.

Co to jest QR-kod?

...gdyby ktoś jeszcze nie wiedział. QR-kod to, podobnie jak kod kreskowy, taka czcionka za pomocą której koduje się ciąg liter i cyfr.

To jest kod kreskowy:

Przykładowy kod kreskowy

Tu, akurat, zakodowano wyraz "5906040063515" czyli ciąg cyfr (kod produktu, w tym przypadku jogurtu w opakowaniu 200g).

A to jest QR-kod:

Przykładowy QR-kod

Tu, akurat, zakodowałem adres WWW mojego bloga informatycznego czyli https://sergiuszdiundyk.pl.

QR-kod pozwała zakodować znacznie więcej (w porównaniu do kodu kreskowego) informacji na tej samej powierzchni.

Większość aplikacji obsługujących kamerę w nowoczesnych smartfonach posiada funkcję rozpoznawania QR-kodu, czyli podnoszę kamerę smartfona do kodu kreskowego lub QR-kodu i aplikacja od razu rozpoznaje co tam jest zaszyfrowane. Zobaczcie, tylko podniosłem kamerę mojego telefonu do w.w. kodu kreskowego:

Zdjęcie kodu kreskowego

Zdjęcie QR-kodu

Czy QR-kod jest niebezpieczny?

Sam w sobie QR-kod nie jest niebezpieczny. Jak wytłumaczyłem wyżej, QR-kod to tylko czcionka, za pomocą której w sposób graficzny można zapisać ciąg znaków, na przykład adres WWW strony internetowej.

Problem tkwi, jak i większości zagadnień cyberbezpieczeństwa, w użytkowniku. Jeśli ktoś z braku wiedzy lub poprostu nie zastanawiając się klika w cokolwiek, no to oczywiście można kliknąć w pułapkę zapisaną w postaci adresu URL szkodliwej strony internetowej (na przykład, zawirusowanej albo proponującej wpisać hasło do konta bankowego itd).

To nie QR-kod jest problemem, tylko brak wiedzy i czujności użytkowników dzisiejszych smartfonów i komputerów. Za pomocą kodu QR można zapisać odnośnik do strony internetowej, ale to samo można zrobić długopisem na kartce papieru, albo wysłać SMS'em, albo mailem.

Czy można zaatakować smartfon za pomocą QR-kodu?

Tak. Za pomocą QR-kodu można zaatakować... użytkownika, ale nie smartfon. Za pomocą kodu QR można podstawić użytkownikowi link do złośliwej strony internetowej lub, co jeszcze lepiej, do pobrania złośliwej aplikacji, i skłonić użytkownika do dokonania szkodliwej lub niebezpiecznej czynności (chociażby do kliknięcia w złośliwy odnośnik, a po kliknięciu już wiele może się dziać).

Mogą być stosowane wyrafinowane techniki, kiedy QR kod eksploatuje lukę w oprogramowaniu konkretnego telefonu, ale to są rzeczy bardzo specyficzne.

Jak się chronić przed szkodliwym kodem QR?

W celu zapewnienia bezpieczeństwa nigdy nie warto klikać w odnośniki zakodowane w kodach QR. Za każdym razem kiedy chcemy skorzystać z kodu QR, najpierw trzeba go zeskanować za pomocą oprogramowania które na pewno nie wysyła tego kodu do sieci, nie zapisuje w pamięci (w celu późniejszego wysłania), ani nie ładuje samoczynnie strony zapisanej w kodzie QR. Dopiero po ręcznym sprawdzeniu że QR kod nie zawiera żadnych parametrów w HTTP zapytaniu GET, tylko czysty adres URL - wtedy można skopiować rozkodowany adres URL do schowka i wkleić do linii adresu w przeglądarce z uprzednio wyczyszczoną historią.

Skanując kod QR np w komunikacji miejskiej, w restauracji (np. menu) albo w sklepie - potencjalnie narażamy się na niebezpieczeństwo. Jeśli w rozkodowanym kodzie QR jest zawarty przynajmniej jeden nieczytelny GET-paramater, warto zrezygnować z kliknięcia w taki kod albo z używania go w dowolniej aplikacji (nawet takiej jak opłata przejazdu komunikacją miejską - dla bezpieczeństwa wybierz bilet papierowy albo kup bilet miesięczny). Wybór należy to Ciebie: albo komfort albo bezpieczeństwo.

Odnośnik do strony internetowej z reguły składa się z adresu strony i parametrów (tak zwane GET-parametry).

Czysty adres głównej strony:

 https://sergiuszdiundyk.pl 

Czytelny adres tej publikacji:

 https://sergiuszdiundyk.pl/czy-kod-qr-jest-niebezpieczny 

Ta czy-kod-qr-jest-niebezpieczny część jest parametrem. W tym, akurat, przypadku jest to czytelny adres wybranej strony.

To adres www, ale zawiera mniej czytelny parametr:

 https://sergiuszdiundyk.pl/search/s?s=Q28lMjB0byUyMGplc3Q%3D&page=1 

Największe niebezpieczeństwo składają takie oto nieczytelne parametry: Q28lMjB0byUyMGplc3Q%3D. Parametry te moga być niebezpieczne, ponieważ nie wiemy co tam jest zaszyfrowane. Akurat w tym przypadku nic szkodliwego nie ma, ale w innych przypadkach taki nieczytelny ciąg znaków zaszyfrowany w QR-kodzie może słono kosztować.

One mogą zawierać unikatowy identyfikator Twojego telefonu albo miejsca w którym się znajdujesz, czyli klikając w taki odnośnik jest prawdopodobieństwo wysłania do sieci Twojej lokalizacji (to nie ma nic wspólnego z włączoną lub wyłączoną funkcją lokalizacji w Twoim smartfonie) wraz z unikatowym identyfikatorem Twojego telefonu.

Jak sprawdzić czy QR-kod jest bezpieczny?

Oto przykład z życia wzięty. Dzisiaj coś kupowałem w Carrefour'ze i dostałem taki oto paragon:

QR-kod z Carrefour'a

Na odwrotnej stronie paragonu znajduje się jakiś QR-kod, czyli Carrefour'owcy są bardzo mili i grzeczni, chcą zaprezentować mi coś bardzo ważnego i wyjątkowego...

A tak na serio, zeskanowałem ten kod aplikacją kamery (o której wspominałem wyżej) w moim smartfonie:

QR-kod z Carrefour'a

Część QR-kodu i część zeskanowanych znaków zablurowałem ze względów bezpieczeństwa.

Otóż, jak sugeruje napis na paragonie, Carrefour chce ode mnie coś kupić za 5 zł. Ale co? Przecież nic nie sprzedaję! Otóż, moi drodzy, zapłaciłem za ten koszyk kartą (i, właśnie, z tego powodu zamalowałem część kodu), a w kodzie widnieje się unikatowy kod: 4369f2c...

Czyli jeśli wejdę na wskazaną stronę internetową, to system zbierający statystyki, najprawdopodobniej, wygeneruje raport zawierający kwotę, datę, ewentualnie moje dane osobowe (ponieważ da się to wyciągnąć z transakcji), a pozatym zapiszą moją lokalizację i spróbuje zidentyfikować mój telefon i przeglądarkę. Jak widać z napisu na paragonie, Carrefour zaproponuje mi wypełnić jakąś ankietę. Czyli chcą odkupić ode mnie wszystkie w.w. dane (w tym te pozyskane z paragonu, z transakcji, z telefonu, z przeglądarki, z adresu IP) za 5 złotych. Ja dziękuję.

Pierwsza rzecz którą robię w celu zbadania QR-kodu - sprawdzam czy na telefonie mam wyłączony internet, czy nie mam uruchomionych innych aplikacji mających dostęp do kamery i skanuję kod kamerą telefonu (w moim telefonie sprawdzałem czy aplikacja kamery próbuje cokolwiek wysyłać do sieci, czy nie ma zbędnych uprawnień). Jeśli w aplikacji kamery po rozszyfrowaniu QR-kodu widzę jakiekolwiek ciągi znaków których nie znam lub nie umiem jednoznacznie odczytać/zrozumieć - daruję sobie taki QR-kod. Jeśli po ręcznej weryfikacji mam pewność że kod nie zawiera dziwnych znaczków, to kopiuję go do schowka i wklejam w przeglądarce z wyczyszczoną historią w trybie incognito (po czym do schowka kopiuję coś innego, losowo).

Każdy z nas ma do wyboru - komfort albo bezpieczeństwo. Tego wyboru dokonujemy wielokrotnie i codziennie.

W celu uzupełnienia wiedzy na temat bezpieczeństwa Twojego telefonu polecam zapoznać się z publikacją na temat bezpieczeństwa smartfonów (kliknij tu).

Serdecznie zapraszam do komentowania tego artykułu! Formularz z komentarzami znajduje się niżej.

Dbaj o siebie i o bezpieczeństwo Twoich sprzętów cyfrowych!