QR kodovi možda izgledaju bezopasno, ali su riskantniji nego što mislite.

QR kodovi su popularni jer ih digitalni uređaji mogu brzo očitati i mnoge stvari čine praktičnijima. Možete pregledavati web stranice, preuzimati datoteke, pa čak i spajati se na Wi-Fi mreže skeniranjem QR koda.

No, nažalost, korištenje QR kodova predstavlja i moguće sigurnosne probleme.

Koje su opasnosti od QR kodova?

Netko može koristiti QR kodove za napad na ljudsku interakciju i automatizirane sustave. Da biste poduzeli mjere opreza, razmotrite nekoliko primjera.

Napad SQL injekcijom

SQL Injection je vektor napada koji hakeri koriste za napad na aplikacije koje se pokreću bazama podataka. Ovom metodom žele ukrasti podatke u bazi podataka.

Da biste tome pristupili iz perspektive QR koda, zamislite scenarij u kojem se softver za QR dekodiranje povezuje s bazom podataka i koristi informacije QR koda za izvršenje upita. Također, tu je i Ranjivost SQL injekcije. U takvom scenariju, čitač QR koda može pokrenuti vaš upit bez provjere dolazi li iz provjerenog izvora. Tako haker može ukrasti podatke u bazi podataka.

instagram viewer

Ovo nije ni tako teško ni zamršeno kao što se čini. Kada skenirate QR kod, poveznica se prikazuje na čitaču QR koda. Izmjenom parametara URL-a moguće je izvesti napade kao što je SQL injection. URL na koji vas skener QR koda preusmjerava može vam, naravno, omogućiti izvođenje takvog vektora napada.

Ubrizgavanje naredbe

U metodi ubacivanja naredbi, napadač može ubaciti HTML kod koji mijenja sadržaj stranice. Kad god korisnik posjeti izmijenjenu stranicu, web preglednik interpretira kod, što rezultira izvršavanjem zlonamjernih naredbi na uređaju na kojem korisnik skenira QR kod. Drugim riječima, ovo je situacija u kojoj se unos QR koda koristi kao parametar naredbenog retka.

U takvom slučaju, napadač može jednostavno iskoristiti situaciju mijenjanjem QR koda i pokretanjem proizvoljnih naredbi na stroju. Napadač može koristiti ovu metodu za implementaciju rootkita, špijunskog softvera i DoS napada, kao i za povezivanje s udaljenim računalom i dobivanje pristupa resursima sustava.

Socijalni inženjering

Društveni inženjering je opći naziv za manipuliranje ljudima kako bi se dobio neovlašteni pristup njihovim povjerljivim informacijama. Hakeri koriste ovu metodu kako bi ukrali vaše podatke ili provalili u sustav. Phishing je jedna od taktika najčešće korišteni.

Uz krađu identiteta, ciljane su osobe prisiljene klikati ili posjećivati ​​lažna web-mjesta. QR kodovi su jako korisni za ovaj posao jer korisnik gledajući QR kod ne može shvatiti na koju stranicu otići.

Zamislite da se prijavite na web mjesto koje izgleda isto kao web mjesto poput Twittera i ima sličan URL. Ako ovdje unesete svoje podatke za prijavu, zamijenivši ih s Twitterom, možete izgubiti svoj račun od hakera.

Kako izbjeći nesigurne QR kodove

Na početku mjera koje se mogu poduzeti protiv napada hakera QR kodovima na prvom je mjestu osoba koja je najslabija karika u sigurnosnom lancu. Drugim riječima, korisnik bi trebao biti oprezniji od napada društvenog inženjeringa i ne bi trebao skenirati QR kodove čiji je izvor nepoznat. Budući da ljudi ne mogu čitati QR kodove, može biti teško znati kome vjerovati. Zbog toga biste trebali koristiti sigurne čitače QR kodova.

Održavajte operativni sustav svog mobilnog uređaja ažurnim i koristite aplikaciju za sigurno čitanje QR kodova. Mnogi moderni mobilni uređaji dolaze s ugrađenim čitačem QR koda u svoje kamere. Međutim, postojanje aplikacije QR koda na mobilnom uređaju koja korisnicima omogućuje provjeru URL-a prije nego što ga posjete daje im mogućnost provjere izvora URL-a kojem će pristupiti. Ova sigurnosna provjera nije moguća za QR kodove koji ne sadrže nikakve popratne podatke. Stoga sve aplikacije za čitanje QR kodova moraju korisniku prikazati dekodirani URL prije otvaranja veze i traženja njihove potvrde.

Istražite softver za generiranje QR koda

Provjera valjanosti generator QR koda a testiranje integriteta podataka poslužit će kao mjera protiv mogućih prijevara, ubacivanja SQL-a i napada ubacivanjem naredbi. Važno je standardizirati i integrirati digitalne potpise za provjeru autentičnosti QR koda i provjeriti je li QR kod promijenjen ili ne. Digitalni potpisi značajno kompliciraju napade temeljene na QR kodu jer od napadača zahtijevaju izmjenu kontrolne sume i time izmjenu postupka verifikacije.

Ne biste se trebali oslanjati na brojne generatore QR kodova koje možete pronaći na internetu. Obratite pozornost na tehnologiju i tvrtku koja stoji iza ovih generatora.

Pazite na nesigurne URL-ove

Preusmjeravanje posjetitelja na nepouzdane URL-ove jedan je od najpopularnijih napada na QR kod, koji može dovesti do pokušaja krađe identiteta i prijenosa zlonamjernog softvera poput virusa, crva i trojanaca. Kako bi se osigurala pouzdanost mrežnog materijala protiv takvih napada, ključno je potvrditi legitimitet sadržaja određivanjem može li program za čitanje QR koda razlikovati lažno od originalnog URL-ovi.

Čuvajte se izvršnih kodova

Kako biste spriječili pristup izvršnih kodova ili naredbi skeniranih QR kodom resursima uređaja za skeniranje, potrebno je izolirati sadržaj QR koda. Izoliranje sadržaja može spriječiti napade kao što su povrede privatnosti, pristup osobnim podacima i korištenje uređaja za skeniranje za napade kao što su DDoS i Botneti. Najjednostavnija metoda je blokiranje pristupa aplikacija, uključujući aplikacije za skeniranje QR koda, resursima uređaja za skeniranje (kao što su kamera, imenik, fotografije, informacije o lokaciji itd.).

Koristite QR kodove, ali pažljivo

Brzim razvojem tehnologije QR kodovi postali su dio naše svakodnevice. Možete smanjiti rizike povezane s QR kodovima ako ih koristite mudro i poduzmete mjere.

Budite oprezni dok skenirate QR kodove na koje naiđete na internetu ili u stvarnom okruženju. Koristite renomirane programe i zaštitite svoje uređaje najnovijim antivirusnim softverom. Također je dobra ideja ne skenirati QR kodove sa sumnjivih ili nepouzdanih stranica i ne davati osobne podatke.