QR kódy mohou vypadat neškodně, ale jsou riskantnější, než si myslíte.
QR kódy jsou oblíbené, protože je lze rychle přečíst digitálními zařízeními a mnoho věcí je díky nim praktičtější. Naskenováním QR kódu můžete procházet webové stránky, stahovat soubory a dokonce se připojit k sítím Wi-Fi.
Ale bohužel, použití QR kódů také představuje možné bezpečnostní problémy.
Jaká jsou nebezpečí QR kódů?
Někdo může pomocí QR kódů zaútočit jak na lidskou interakci, tak na automatizované systémy. Chcete-li přijmout preventivní opatření, zvažte několik příkladů.
SQL Injection Attack
SQL Injection je vektor útoku, který hackeři používají k útokům na databázové aplikace. S touto metodou se snaží ukrást data v databázi.
Chcete-li k tomu přistupovat z hlediska QR kódu, představte si scénář, kdy se software pro dekódování QR připojí k databázi a použije informace z QR kódu k provedení dotazu. Také je zde a Chyba zabezpečení SQL injection. V takovém scénáři může čtečka QR kódu spustit váš dotaz bez ověření, zda pochází z ověřeného zdroje. Hacker tak může ukrást informace v databázi.
Není to ani tak těžké, ani tak spletité, jak se zdá. Když naskenujete QR kód, na čtečce QR kódu se zobrazí odkaz. Úpravou parametrů URL je možné provádět útoky, jako je SQL injection. Adresa URL, na kterou vás skener QR kódu přesměruje, vám samozřejmě umožní provést takový útočný vektor.
Příkazová injekce
Při metodě vkládání příkazů může útočník vložit kód HTML, který upravuje obsah stránky. Kdykoli uživatel navštíví upravenou stránku, webový prohlížeč interpretuje kód, což má za následek spuštění škodlivých příkazů na zařízení, kde uživatel naskenuje QR kód. Jinými slovy, toto je situace, kdy je vstup z QR kódu použit jako parametr příkazového řádku.
V takovém případě může útočník jednoduše využít situace tím, že změní QR kód a spustí na stroji libovolné příkazy. Útočník může tuto metodu použít k nasazení rootkitů, spywaru a útoků DoS, stejně jako k připojení ke vzdálenému počítači a získání přístupu k systémovým prostředkům.
Sociální inženýrství
Sociální inženýrství je obecný název pro manipulaci s lidmi za účelem získání neoprávněného přístupu k jejich důvěrným informacím. Hackeři používají tuto metodu ke krádeži vašich informací nebo k proniknutí do systému. Phishing je jednou z taktik nejčastěji používané.
Díky phishingu jsou cílení lidé nuceni klikat na falešné webové stránky nebo je navštěvovat. QR kódy jsou pro tuto práci opravdu užitečné, protože uživatel při pohledu na QR kód nemůže pochopit, na kterou stránku má jít.
Představte si, že se přihlašujete na web, který vypadá stejně jako web jako Twitter a má podobnou adresu URL. Pokud zde zadáte své přihlašovací údaje a spletete si je s Twitterem, můžete svůj účet ztratit kvůli hackerovi.
Jak se vyhnout nebezpečným QR kódům
Na začátku opatření, která lze proti útokům hackerů pomocí QR kódů podniknout, stojí na prvním místě člověk, který je nejslabším článkem bezpečnostního řetězce. Jinými slovy, uživatel by měl být opatrnější proti útokům sociálního inženýrství a neměl by skenovat QR kódy, jejichž zdroj je neznámý. Vzhledem k tomu, že lidé neumí číst QR kódy, může být obtížné vědět, kterému věřit. To je důvod, proč byste měli používat bezpečné čtečky QR kódů.
Udržujte operační systém svého mobilního zařízení aktuální a používejte aplikaci pro bezpečné čtení QR kódů. Mnoho moderních mobilních zařízení má ve svých fotoaparátech vestavěnou čtečku QR kódů. Nicméně aplikace s QR kódem v mobilním zařízení, která uživatelům umožňuje zkontrolovat adresu URL před návštěvou, jim dává možnost ověřit zdroj adresy URL, ke které se chystají přejít. Tato bezpečnostní kontrola není možná u QR kódů, které neposkytují žádné doprovodné informace. Proto jsou všechny aplikace pro čtení QR kódů povinny zobrazit dekódovanou adresu URL uživateli před otevřením odkazu a žádostí o jeho potvrzení.
Prozkoumejte software pro generování QR kódu
Ověřování generátor QR kódu a testování integrity dat bude sloužit jako opatření proti možným podvodům, útokům SQL injection a command injection. Je důležité standardizovat a integrovat digitální podpisy pro ověřování QR kódů a ověřit, zda byl QR kód změněn či nikoli. Digitální podpisy výrazně komplikují útoky založené na QR kódu, protože vyžadují, aby útočník upravil kontrolní součet, a tím změnil proces ověřování.
Neměli byste se spoléhat na četné generátory QR kódů, které můžete najít na internetu. Věnujte pozornost technologii a společnosti za těmito generátory.
Dejte si pozor na nebezpečné adresy URL
Přesměrování návštěvníků na nedůvěryhodné adresy URL je jedním z nejpopulárnějších útoků na QR kód, který může vést k pokusům o phishing a přenosu škodlivého softwaru, jako jsou viry, červi a trojské koně. Aby byla zajištěna důvěryhodnost online materiálu proti takovým útokům, je důležité ověřit legitimitu obsahu určením, zda program pro čtení QR kódu dokáže rozlišit mezi falešným a pravým URL.
Dejte si pozor na spustitelné kódy
Aby se spustitelné kódy nebo příkazy naskenované pomocí QR kódu zabránilo v přístupu ke zdrojům snímacího zařízení, je nutné izolovat obsah QR kódu. Izolace obsahu může pomoci zabránit útokům, jako je narušení soukromí, přístup k osobním informacím a používání skenovacího zařízení útoky jako DDoS a botnety. Nejjednodušší metodou je zablokovat přístup aplikací, včetně aplikací pro skenování QR kódů, ke zdrojům skenovacího zařízení (jako je fotoaparát, telefonní seznam, fotografie, informace o poloze atd.).
Používejte QR kódy, ale opatrně
S rychlým rozvojem technologií se QR kódy staly součástí našeho každodenního života. Rizika spojená s QR kódy můžete snížit jejich rozumným používáním a přijetím opatření.
Při skenování QR kódů, se kterými se setkáte na internetu nebo v reálném prostředí, buďte opatrní. Používejte renomované programy a chraňte svá zařízení pomocí aktuálního antivirového softwaru. Je také dobré neskenovat QR kódy z podezřelých nebo nedůvěryhodných stránek a nesdělovat osobní údaje.