QR kodi var izskatīties nekaitīgi, taču tie ir riskantāki, nekā jūs domājat.
QR kodi ir populāri, jo tos var ātri nolasīt ar digitālajām ierīcēm un padarīt daudzas lietas praktiskākas. Varat pārlūkot vietnes, lejupielādēt failus un pat izveidot savienojumu ar Wi-Fi tīkliem, skenējot QR kodu.
Taču diemžēl QR kodu izmantošana rada arī iespējamās drošības problēmas.
Kādas ir QR kodu briesmas?
Kāds var izmantot QR kodus, lai uzbruktu gan cilvēku mijiedarbībai, gan automatizētām sistēmām. Lai veiktu piesardzības pasākumus, apsveriet dažus piemērus.
SQL injekcijas uzbrukums
SQL injekcija ir uzbrukuma vektors, ko hakeri izmanto, lai uzbruktu datu bāzes vadītām lietojumprogrammām. Izmantojot šo metodi, viņu mērķis ir nozagt datus datu bāzē.
Lai to aplūkotu no QR koda viedokļa, iedomājieties scenāriju, kurā QR dekodēšanas programmatūra izveido savienojumu ar datu bāzi un izmanto QR koda informāciju, lai izpildītu vaicājumu. Tāpat ir a SQL injekcijas ievainojamība. Šādā gadījumā QR koda lasītājs var izpildīt jūsu vaicājumu, nepārbaudot, vai tas nāk no autentificēta avota. Tādējādi hakeris var nozagt datubāzē esošo informāciju.
Tas nav ne tik grūts, ne tik sarežģīts, kā šķiet. Kad skenējat QR kodu, QR koda lasītājā tiek parādīta saite. Pārveidojot URL parametrus, ir iespējams veikt uzbrukumus, piemēram, SQL injekciju. Protams, URL, uz kuru QR koda skeneris jūs novirza, var ļaut veikt šādu uzbrukuma vektoru.
Komandu injekcija
Komandu ievadīšanas metodē uzbrucējs var ievadīt HTML kodu, kas maina lapas saturu. Ikreiz, kad lietotājs apmeklē modificēto lapu, tīmekļa pārlūkprogramma interpretē kodu, kā rezultātā ierīcē, kurā lietotājs skenē QR kodu, tiek izpildītas ļaunprātīgas komandas. Citiem vārdiem sakot, šī ir situācija, kad ievade no QR koda tiek izmantota kā komandrindas parametrs.
Šādā gadījumā uzbrucējs var vienkārši izmantot situāciju, mainot QR kodu un palaižot iekārtā patvaļīgas komandas. Uzbrucējs var izmantot šo metodi, lai izvietotu sakņu komplektus, spiegprogrammatūru un DoS uzbrukumus, kā arī izveidotu savienojumu ar tālu mašīnu un piekļūtu sistēmas resursiem.
Sociālā inženierija
Sociālā inženierija ir vispārīgs nosaukums manipulācijām ar cilvēkiem, lai iegūtu nesankcionētu piekļuvi viņu konfidenciālajai informācijai. Hakeri izmanto šo metodi, lai nozagtu jūsu informāciju vai ielauztos sistēmā. Pikšķerēšana ir viena no taktikām visbiežāk izmanto.
Izmantojot pikšķerēšanu, mērķtiecīgi cilvēki ir spiesti noklikšķināt vai apmeklēt viltotas vietnes. QR kodi ir ļoti noderīgi šim darbam, jo lietotājs, skatoties uz QR kodu, nevar saprast, uz kuru vietni doties.
Iedomājieties, ka piesakāties vietnē, kas izskatās tāpat kā vietne, piemēram, Twitter, un kurai ir līdzīgs URL. Ja ievadāt šeit savu pieteikšanās informāciju, sajaucot to ar Twitter, varat zaudēt savu kontu hakeram.
Kā izvairīties no nedrošiem QR kodiem
Sākoties pasākumiem, ko var veikt pret hakeru uzbrukumiem ar QR kodiem, pirmajā vietā ir cilvēks, kurš ir vājākais posms drošības ķēdē. Citiem vārdiem sakot, lietotājam jābūt uzmanīgākam pret sociālās inženierijas uzbrukumiem un nevajadzētu skenēt QR kodus, kuru avots nav zināms. Tā kā cilvēki nevar nolasīt QR kodus, var būt grūti zināt, kam uzticēties. Tāpēc jums vajadzētu izmantot drošus QR koda lasītājus.
Atjauniniet savas mobilās ierīces operētājsistēmu un izmantojiet lietojumprogrammu, lai droši nolasītu QR kodus. Daudzu mūsdienu mobilo ierīču kamerās ir iebūvēts QR koda lasītājs. Tomēr, ja mobilajā ierīcē ir pieejama QR koda lietojumprogramma, kas ļauj lietotājiem pārbaudīt URL pirms tā apmeklēšanas, viņi var pārbaudīt URL avotu, kuram viņi gatavojas piekļūt. Šī drošības pārbaude nav iespējama QR kodiem, kas nesniedz nekādu pavadinformāciju. Tāpēc visām QR koda lasītāju lietotnēm ir jāparāda lietotājam atšifrētais URL, pirms tiek atvērta saite un lūgts viņu apstiprinājums.
Izpētiet QR koda ģenerēšanas programmatūru
Apstiprinot QR koda ģenerators un datu integritātes pārbaude kalpos kā līdzeklis pret iespējamu krāpšanu, SQL injekcijas un komandu ievadīšanas uzbrukumiem. Ir svarīgi standartizēt un integrēt ciparparakstus QR koda autentifikācijai un pārbaudīt, vai QR kods ir vai nav mainīts. Digitālie paraksti ievērojami sarežģī uz QR kodu balstītus uzbrukumus, jo uzbrucējam ir jāmaina kontrolsumma un tādējādi jāmaina verifikācijas process.
Jums nevajadzētu paļauties uz daudzajiem QR kodu ģeneratoriem, ko varat atrast internetā. Pievērsiet uzmanību tehnoloģijai un uzņēmumam, kas ir aiz šiem ģeneratoriem.
Uzmanieties no nedrošiem URL
Apmeklētāju novirzīšana uz neuzticamiem URL ir viens no populārākajiem QR koda uzbrukumiem, kas var izraisīt pikšķerēšanas mēģinājumus un ļaunprātīgas programmatūras, piemēram, vīrusu, tārpu un Trojas zirgu, pārsūtīšanu. Lai nodrošinātu tiešsaistes materiāla uzticamību pret šādiem uzbrukumiem, ir ļoti svarīgi apstiprināt satura leģitimitāti, nosakot, vai QR koda lasītāja programma var atšķirt viltotu un īstu URL.
Uzmanieties no izpildāmiem kodiem
Lai ar QR kodu skenētie izpildāmie kodi vai komandas nevarētu piekļūt skenēšanas ierīces resursiem, ir nepieciešams izolēt QR koda saturu. Satura izolēšana var palīdzēt novērst uzbrukumus, piemēram, privātuma pārkāpumus, piekļuvi personiskajai informācijai un skenēšanas ierīces izmantošanu uzbrukumi, piemēram, DDoS un robottīkli. Vienkāršākā metode ir bloķēt lietojumprogrammu, tostarp QR koda skenēšanas programmu, piekļuvi skenēšanas ierīces resursiem (piemēram, kamerai, tālruņu grāmatai, fotoattēliem, atrašanās vietas informācijai utt.).
Izmantojiet QR kodus, bet uzmanīgi
Strauji paplašinoties tehnoloģijām, QR kodi ir kļuvuši par mūsu ikdienas sastāvdaļu. Jūs varat samazināt ar QR kodiem saistītos riskus, izmantojot tos saprātīgi un veicot pasākumus.
Esiet piesardzīgs, skenējot QR kodus, kas atrodami internetā vai reālā vidē. Izmantojiet cienījamas programmas un aizsargājiet savas ierīces ar atjauninātu pretvīrusu programmatūru. Tāpat nav ieteicams skenēt QR kodus no aizdomīgām vai neuzticamām vietnēm un neizpaust personisku informāciju.