Czy kody QR są bezpieczne

Odnoszę wrażenie, że kody są stygmatyzowane - chociaż działają podobnie jak wyszukiwarki - przenoszą nas do nowych stron.

Opublikowano 22.12.2022 14:46

Kod QR to ten kwadrat, który zeskanowany przy pomocy aparatu w telefonie (lub w specjalnej aplikacji) potrafi otworzyć stronę internetową w przeglądarce. Ale istnieją też inne zastosowania tego mechanizmu. Dobrze opisuje je ta strona.

  • Kod może zawierać nazwę i hasło do sieci WIFI. Jeśli pójdziesz do swojego znajomego - to zamiast prosić go o podanie hasła - możesz zeskanować kod. Obrazek poniżej spróbuje Cię połączyć z siecią "mojasiecwifi" używając hasła "mojehaslowifi".

  • Możesz tak też zapisać adres email lub numer telefonu. Użytkownik po zeskanowaniu zostanie przeniesiony do odpowiedniej aplikacji. Obrazek poniże spróbuje dodać nowy wpis do kalendarza. Wpis jest ustawiony na 14 lutego 2022 roku.

Kod QR może przekierować Cię do dowolnej strony.

Nie wiesz do jakiej – bo przecież nie potrafisz analizować w głowie kodu QR. Robi to za Ciebie aplikacja w telefonie, która przenosi Cię pod zapisany adres. Ten adres może prowadzić do przyjaznej strony.

Adres z przystanku autobusowego może wyświetlić rozkład jazdy. Równie dobrze kod ten może Cię zaprowadzić do strony należącej do oszustów. Chociażby do fałszywej strony Twojego banku. Jeśli podasz na niej swój login i hasło – to trafią one do przestępców. To rodzaj phishingu.

Wystarczy, że nie będziesz ufał stronom, na które wchodzisz dzięki kodom QR.

Jeśli trafiłeś tak na stronę logowania do swojego banku - to po prostu zamknij kartę przeglądarki. Poza tym jeśli nie korzystasz z menadżerów haseł - to może warto rozważyć tą opcję?

Logowanie do aplikacji

Coraz więcej aplikacji wspiera logowanie kodami QR. Na przykład Discord. Jeśli uruchomisz go na komputerze to wyświetli Ci się kod QR.
Gdy zeskanujesz go w aplikacji na telefonie możesz się zalogować na swoje konto.

W tym wypadku aplikacja dość jasno informuje Cię, żebyś nie skanował kodów przesłanych przez innego użytkownika. Potwierdzając takie logowanie ktoś uzyska dostęp do Twojego konta na swoim komputerze. I nie potrzebuje Twojego hasła.

Ale nie każda aplikacja wyświetla taki komunikat. Złodzieje wykorzystują oficjalną aplikację Wiadomości stworzoną przez Google na Androidzie.

Przestępca wysyła ofierze kod QR, który ta ma w niej zeskanować. Służy on do parowania urządzenia z aplikacją. Po zeskanowaniu oszust ma dostęp do wiadomości SMS oraz listy kontaktów. Może także wysyłać wiadomości za pośrednictwem swojej przeglądarki.

Nigdy nie zatwierdzaj logowania kodem QR, którego sam nie wygenerowałeś.

Czy może Ci grozić coś więcej?

Możesz zostać przekonany do połączenia się z cudzą siecią WIFI albo do wysłania wiadomości SMS do obcej osoby. Bądź też do dodania jakiejś daty do kalendarza. To od Ciebie zależy czy to zrobisz. Telefon powinien prosić o potwierdzenie takiej akcji.

Czy można się tak włamać na Twój telefon i przejąć nad nim kontrolę? Nie możemy tego wykluczyć.

Telefony posiadają oprogramowanie – a w programach mogą być błędy. Na przykład takie, które nie są jeszcze naprawione przez producenta. Teoretycznie, ktoś może przy pomocy kodu QR zachęcić Cię do odwiedzenia złej strony. Tam może się znajdować kod, który pozwoli na przejęcie kontroli nad Twoim telefonem. Ale to mało prawdopodobne. Równie dobrze ktoś może Ci przesłać link w wiadomości SMS lub użyć Pegazusa.

Na taką stronę możesz też trafić z reklamy na Facebooku lub z wyszukiwarki. Takie błędy nie rosną jak jabłka na jabłoni i aby je znaleźć trzeba poświęcić sporo czasu. Są zbyt cenne, aby wykorzystywać je na osoby, które z punktu widzenia atakujących są mało interesujące.

Bo co to za porada: "nie klikaj w złośliwe linki"?

Skąd masz wiedzieć, które są złośliwe?

Internet opiera się przecież na przeglądaniu różnych stron.

Aktualizacje przeglądarek i systemu operacyjnego minimalizują wektor ataku. A co z błędami w parserach? CVE-2018-4187 powodował, że użytkownik w popupie widział inny adres niż ten, który wyświetlał się w przeglądarce. No ale jeśli nie ufamy stronom, które się nam wyświetlają - niczego to nie zmienia.

#porady