QR kódy môžu vyzerať neškodne, no sú riskantnejšie, ako si myslíte.
QR kódy sú obľúbené, pretože ich digitálne zariadenia dokážu rýchlo prečítať a mnohé veci sú praktickejšie. Naskenovaním QR kódu môžete prehliadať webové stránky, sťahovať súbory a dokonca sa pripojiť k sieťam Wi-Fi.
Ale, bohužiaľ, použitie QR kódov tiež predstavuje možné bezpečnostné problémy.
Aké sú nebezpečenstvá QR kódov?
Niekto môže pomocou QR kódov zaútočiť na ľudskú interakciu aj na automatizované systémy. Ak chcete prijať preventívne opatrenia, zvážte niekoľko príkladov.
SQL Injection Attack
SQL Injection je vektor útoku, ktorý hackeri používajú na útoky na databázové aplikácie. Pomocou tejto metódy sa snažia ukradnúť údaje v databáze.
Ak chcete k tomu pristupovať z pohľadu kódu QR, predstavte si scenár, v ktorom sa softvér na dekódovanie QR pripojí k databáze a použije informácie o kóde QR na vykonanie dotazu. Tiež je tu a Zraniteľnosť vstrekovania SQL. V takomto scenári môže čítačka QR kódu spustiť váš dotaz bez overenia, či pochádza z overeného zdroja. Hacker tak môže ukradnúť informácie v databáze.
Nie je to také ťažké ani spletité, ako sa zdá. Keď naskenujete QR kód, na čítačke QR kódov sa zobrazí odkaz. Úpravou parametrov URL je možné vykonávať útoky ako SQL injection. Adresa URL, na ktorú vás skener QR kódu presmeruje, vám samozrejme umožní vykonať takýto vektor útoku.
Príkazové vstrekovanie
Pri metóde vkladania príkazov môže útočník vložiť kód HTML, ktorý upraví obsah stránky. Kedykoľvek používateľ navštívi upravenú stránku, webový prehliadač interpretuje kód, čo vedie k vykonaniu škodlivých príkazov na zariadení, kde používateľ naskenuje QR kód. Inými slovami, toto je situácia, keď sa vstup z QR kódu používa ako parameter príkazového riadku.
V takom prípade môže útočník jednoducho využiť situáciu tak, že zmení QR kód a spustí na stroji ľubovoľné príkazy. Útočník môže použiť túto metódu na nasadenie rootkitov, spywaru a útokov DoS, ako aj na pripojenie k vzdialenému počítaču a získanie prístupu k systémovým prostriedkom.
Sociálne inžinierstvo
Sociálne inžinierstvo je všeobecný názov pre manipuláciu ľudí s cieľom získať neoprávnený prístup k ich dôverným informáciám. Hackeri používajú túto metódu na ukradnutie vašich informácií alebo prienik do systému. Phishing je jednou z taktík najčastejšie používané.
Pri phishingu sú cielení ľudia nútení klikať na falošné webové stránky alebo ich navštevovať. QR kódy sú pre túto prácu skutočne užitočné, pretože používateľ pri pohľade na QR kód nemôže pochopiť, na ktorú stránku má ísť.
Predstavte si, že sa prihlásite na stránku, ktorá vyzerá rovnako ako stránka ako Twitter a má podobnú URL. Ak tu zadáte svoje prihlasovacie údaje a pomýlite si ich s Twitterom, môžete prísť o svoj účet v prospech hackera.
Ako sa vyhnúť nebezpečným QR kódom
Na začiatku opatrení, ktoré je možné prijať proti útokom hackerov pomocou QR kódov, je na prvom mieste osoba, ktorá je najslabším článkom bezpečnostného reťazca. Inými slovami, používateľ by si mal dávať väčší pozor na útoky sociálneho inžinierstva a nemal by skenovať QR kódy, ktorých zdroj je neznámy. Keďže ľudia nedokážu čítať QR kódy, môže byť ťažké vedieť, ktorému majú dôverovať. Preto by ste mali používať bezpečné čítačky QR kódov.
Udržujte operačný systém svojho mobilného zariadenia aktuálny a používajte aplikáciu na bezpečné čítanie QR kódov. Mnoho moderných mobilných zariadení má vo svojich fotoaparátoch zabudovanú čítačku QR kódov. Avšak aplikácia s QR kódom v mobilnom zariadení, ktorá umožňuje používateľom skontrolovať adresu URL pred jej návštevou, im dáva možnosť overiť zdroj adresy URL, ku ktorej sa chystajú pristupovať. Táto bezpečnostná kontrola nie je možná pre QR kódy, ktoré neposkytujú žiadne sprievodné informácie. Všetky aplikácie na čítanie QR kódov preto musia používateľovi zobraziť dekódovanú adresu URL pred otvorením odkazu a požiadaním o potvrdenie.
Preskúmajte softvér na generovanie QR kódu
Overenie generátor QR kódu a testovanie integrity údajov bude slúžiť ako opatrenie proti možným podvodom, útokom SQL injection a command injection. Je dôležité štandardizovať a integrovať digitálne podpisy na overenie QR kódom a overiť, či bol QR kód zmenený alebo nie. Digitálne podpisy výrazne komplikujú útoky založené na kóde QR, pretože vyžadujú, aby útočník upravil kontrolný súčet, a tým zmenil proces overovania.
Nemali by ste sa spoliehať na množstvo generátorov QR kódov, ktoré nájdete na internete. Venujte pozornosť technológii a spoločnosti za týmito generátormi.
Dajte si pozor na nebezpečné adresy URL
Presmerovanie návštevníkov na nedôveryhodné adresy URL je jedným z najpopulárnejších útokov na QR kód, ktorý môže viesť k pokusom o phishing a prenosu škodlivého softvéru, ako sú vírusy, červy a trójske kone. Na zabezpečenie dôveryhodnosti online materiálu proti takýmto útokom je dôležité overiť legitímnosť obsahu určením, či program na čítanie QR kódu dokáže rozlíšiť medzi falošným a pravým URL.
Dajte si pozor na spustiteľné kódy
Aby sa spustiteľným kódom alebo príkazom naskenovaným pomocou QR kódu zabránilo v prístupe k prostriedkom skenovacieho zariadenia, je potrebné izolovať obsah QR kódu. Izolácia obsahu môže pomôcť zabrániť útokom, ako je porušenie súkromia, prístup k osobným informáciám a používanie skenovacieho zariadenia útoky ako DDoS a botnety. Najjednoduchším spôsobom je zablokovať prístup aplikácií, vrátane aplikácií na skenovanie QR kódu, k zdrojom skenovacieho zariadenia (ako je fotoaparát, telefónny zoznam, fotografie, informácie o polohe atď.).
Používajte QR kódy, ale opatrne
S rýchlym rozširovaním technológií sa QR kódy stali súčasťou nášho každodenného života. Riziká spojené s QR kódmi môžete znížiť ich rozumným používaním a prijatím opatrení.
Pri skenovaní QR kódov, s ktorými sa stretnete na internete alebo v reálnom prostredí, buďte opatrní. Používajte renomované programy a chráňte svoje zariadenia pomocou aktuálneho antivírusového softvéru. Tiež je dobré neskenovať QR kódy z podozrivých alebo nedôveryhodných stránok a nezverejňovať osobné údaje.