Kode QR so morda videti neškodljive, vendar so bolj tvegane, kot si mislite.

Kode QR so priljubljene, ker jih lahko digitalne naprave hitro preberejo in marsikaj naredijo bolj praktično. S skeniranjem kode QR lahko brskate po spletnih mestih, prenašate datoteke in se celo povežete z omrežji Wi-Fi.

Na žalost pa uporaba QR kod predstavlja tudi možne varnostne težave.

Kakšne so nevarnosti QR kod?

Nekdo lahko uporabi kode QR za napad na človeško interakcijo in avtomatizirane sisteme. Če želite upoštevati previdnostne ukrepe, upoštevajte nekaj primerov.

Napad z vbrizgavanjem SQL

SQL Injection je napadalni vektor, ki ga hekerji uporabljajo za napad na aplikacije, ki temeljijo na bazi podatkov. S to metodo želijo ukrasti podatke v bazi podatkov.

Če želite k temu pristopiti z vidika kode QR, si predstavljajte scenarij, kjer se programska oprema za dekodiranje QR poveže z bazo podatkov in uporabi informacije kode QR za izvedbo poizvedbe. Obstaja tudi a Ranljivost vbrizgavanja SQL. V takem primeru lahko bralnik kode QR zažene vašo poizvedbo, ne da bi preveril, ali prihaja iz overjenega vira. Tako lahko heker ukrade informacije v bazi podatkov.

To ni ne tako težko ne tako zapleteno, kot se zdi. Ko optično preberete kodo QR, se na bralniku kod QR prikaže povezava. S spreminjanjem parametrov URL-ja je mogoče izvajati napade, kot je vbrizgavanje SQL. URL, na katerega vas preusmeri skener kode QR, vam seveda lahko omogoči izvedbo takšnega vektorja napada.

Injekcija ukaza

Pri metodi vbrizgavanja ukazov lahko napadalec vbrizga kodo HTML, ki spremeni vsebino strani. Kadarkoli uporabnik obišče spremenjeno stran, spletni brskalnik interpretira kodo, kar ima za posledico izvedbo zlonamernih ukazov na napravi, kjer uporabnik skenira kodo QR. Z drugimi besedami, to je situacija, ko se vnos kode QR uporablja kot parameter ukazne vrstice.

V takem primeru lahko napadalec preprosto izkoristi situacijo tako, da spremeni kodo QR in izvede poljubne ukaze na napravi. Napadalec lahko uporabi to metodo za uvajanje rootkitov, vohunske programske opreme in napadov DoS ter se poveže z oddaljenim računalnikom in pridobi dostop do sistemskih virov.

Socialni inženiring

Socialni inženiring je splošno ime za manipuliranje z ljudmi, da bi pridobili nepooblaščen dostop do njihovih zaupnih informacij. Hekerji to metodo uporabljajo za krajo vaših podatkov ali vdor v sistem. Lažno predstavljanje je ena od taktik najpogosteje uporabljeni.

Z lažnim predstavljanjem so ciljne osebe prisiljene klikniti ali obiskati lažna spletna mesta. Kode QR so zelo uporabne za to delo, saj uporabnik s pogledom na kodo QR ne more razumeti, na katero stran naj gre.

Predstavljajte si, da se prijavite na spletno mesto, ki je videti enako kot spletno mesto, kot je Twitter, in ima podoben URL. Če tukaj vnesete svoje podatke za prijavo in jih zamenjate za Twitter, lahko svoj račun izgubite zaradi hekerja.

Kako se izogniti nevarnim kodam QR

Na začetku ukrepov, ki jih je mogoče sprejeti proti napadom hekerjev s QR kodami, je na prvem mestu oseba, ki je najšibkejši člen v varnostni verigi. Z drugimi besedami, uporabnik bi moral biti bolj previden pred napadi socialnega inženiringa in naj ne skenira QR kod, katerih izvor ni znan. Ker ljudje ne morejo brati kod QR, je težko vedeti, komu zaupati. Zato morate uporabljati varne bralnike kode QR.

Poskrbite, da bo operacijski sistem vaše mobilne naprave posodobljen in uporabite aplikacijo za varno branje kod QR. Veliko sodobnih mobilnih naprav je opremljenih z vgrajenim bralnikom kode QR v svojih fotoaparatih. Če pa imate v mobilni napravi aplikacijo za kodo QR, ki uporabnikom omogoča, da preverijo URL, preden jo obiščejo, jim to omogoča, da preverijo vir URL-ja, do katerega bodo dostopali. To varnostno preverjanje ni mogoče za kode QR, ki ne zagotavljajo nobenih spremljevalnih informacij. Zato morajo vse aplikacije za branje kod QR uporabniku prikazati dekodirani URL, preden odprejo povezavo in zahtevajo njihovo potrditev.

Raziščite programsko opremo za ustvarjanje kode QR

Potrjevanje generator kode QR in testiranje celovitosti podatkov bo služilo kot ukrep proti morebitnim goljufijam, vbrizgavanju SQL in napadom z vbrizgavanjem ukazov. Pomembno je standardizirati in integrirati digitalne podpise za avtentikacijo s kodo QR ter preveriti, ali je bila koda QR spremenjena ali ne. Digitalni podpisi znatno otežijo napade s kodo QR, saj od napadalca zahtevajo, da spremeni kontrolno vsoto in tako spremeni postopek preverjanja.

Ne zanašajte se na številne generatorje kode QR, ki jih najdete na internetu. Bodite pozorni na tehnologijo in podjetje, ki stoji za temi generatorji.

Pazite na nevarne URL-je

Preusmerjanje obiskovalcev na nezaupljive URL-je je eden najbolj priljubljenih napadov s kodo QR, ki lahko privede do poskusov lažnega predstavljanja in prenosa zlonamerne programske opreme, kot so virusi, črvi in ​​trojanci. Da bi zagotovili zanesljivost spletnega gradiva pred takšnimi napadi, je ključnega pomena potrditi legitimnost vsebine tako, da ugotovi, ali lahko program za branje kode QR razlikuje med lažnimi in pristnimi URL-ji.

Pazite se izvršljivih kod

Če želite preprečiti, da bi izvršljive kode ali ukazi, skenirani s kodo QR, dostopali do virov naprave za skeniranje, je treba izolirati vsebino kode QR. Izolacija vsebine lahko pomaga preprečiti napade, kot so kršitve zasebnosti, dostop do osebnih podatkov in uporaba naprave za skeniranje za napadi, kot so DDoS in botneti. Najenostavnejša metoda je blokiranje dostopa aplikacij, vključno z aplikacijami za skeniranje kod QR, do virov naprave za skeniranje (kot so kamera, imenik, fotografije, informacije o lokaciji itd.).

Uporabljajte kode QR, vendar previdno

S hitrim razmahom tehnologije so QR kode postale del našega vsakdana. Tveganja, povezana s kodami QR, lahko zmanjšate tako, da jih pametno uporabljate in ukrepate.

Bodite previdni pri skeniranju kod QR, ki jih najdete na internetu ali v realnem okolju. Uporabite priznane programe in zaščitite svoje naprave s posodobljeno protivirusno programsko opremo. Prav tako je dobro, da ne skenirate kod QR s sumljivih ali nezanesljivih spletnih mest in da ne razkrivate osebnih podatkov.