Komoly gondok lehetnek a QR kódokkal

Sürgős biztonsági frissítésre van szükség a Sophos informatikai biztonsági cég elemzése szerint a QR kódok esetében, ugyanis amióta fizetésre is használjuk őket, könnyen csalók áldozatává válhatunk.

A mérnök Masahiro Hara a mátrix-stílusú vonalkód designt a japán autógyártásban való használatra álmodta meg, azonban más technológiákhoz hasonlóan szintén azzal vált népszerűvé, hogy az emberek olyan módokon kezdték alkalmazni, amelyekre még csak nem is gondolt. A technológia tulajdonosa, a Denso, ingyenesen elérhetővé tette a designt. Napjainkban a QR-kódok már poszterektől kezdve a belépést megerősítő képernyőkig bármire felkerülhetnek.

Az elmúlt években azonban bővült a felhasználási körük és napjainkban sok esetben fizetési eszközként használjuk őket. Most, hogy fizetésre is használják őket, muszáj biztonságosabbá tenni őket” – mondta Szappanos Gábor, a Sophos, kiberbiztonsági vállalat szakértője.

A támadók számos módon árthatnak a QR-kódokat használóknak. Az egyik példa a QRLjacking a Sophos szerint. Az Open Web Application Security Project (OWASP) által támadói vektorként jelölt módszer végrehajtása akkor lehetséges, amikor valaki egyszerhasználatos jelszóként használ egy QR-kódot, ami megjelenik egy képernyőn. A támadó klónozhatja a QR kódot egy legitim oldalról egy adathalász oldalra és elküldheti azt az áldozatnak.

További aggodalomra adnak okot a hamis QR kódok. A bűnözők a saját QR kódjaikat tehetik a legitimek helyére. Ahelyett, hogy a felhasználó okostelefonját a kívánt marketingcélú vagy speciális ajánlatot tartalmazó oldalra irányítanák, a hamis kódok a felhasználót adathalász oldalakra vihetik, vagy olyanokra, amelyek Javascript-alapú malware-rel támadják meg. Kihasználhatják azt is, hogy a QR kódokat egyre többször használják kifizetésekhez. A csaló kicserélheti a QR kódot, amely így a legitim fizetőportál címe helyett a saját hamis fizetőoldalának URL-jére viszi a felhasználókat.

A QR-kódban használható biztonsági intézkedésekre már van is néhány javaslat: az egyik olyan titkosítást használ, amely megakadályozza, hogy egy harmadik fél beléptetésre használt QR kódokat derítsen fel és klónozzon. Egy másik javaslatban digitális aláírást ágyaznának a kódba, így erősítve meg a hitelességét, ez azonban az extra adatok miatt több helyet használ a kód elérhető tárolókapacitásából. A Sophos szerint gyorsan kell cselekedni, hiszen ahogyan a QR kódok terjednek, egyre nehezebbé válik a széles körben alkalmazott designt megváltoztatni.

  • Megosztom