A kiberbűnözők is felfigyeltek a QR-kódokra
A QR-kódok használatának biztonságosabbá tételét sürgeti a Sophos informatikai biztonsági cég, amelynek szakértői szerint a kiberbűnözők több módszerrel is visszaélhetnek velük. A mátrix stílusú vonalkóddizájnt Hara Maszahiro mérnök alkotta meg a japán autógyártásban való használatra, azonban más technológiákhoz hasonlóan ez is úgy vált népszerűvé, hogy az emberek olyan módokon kezdték alkalmazni, amelyekre még csak nem is gondolt. Ma már a QR-kódok a poszterektől a belépést megerősítő képernyőkig bármire felkerülhetnek, a múzeumokban például arra használják őket, hogy életre keltsék a festményeket, az éttermekben az asztalra helyezett kódok segítségével felgyorsítható a fizetés. Ez utóbbi funkció és a megoldás növekvő népszerűsége is szerepet játszik abban, hogy a kiberbűnözők is kezdik felfedezni maguknak a QR-kódokat.
„Az elmúlt években jelentősen bővült a felhasználási körük, napjainkban sok esetben fizetési eszközként használjuk őket, ezért muszáj biztonságosabbá tenni ezt a jelölést” – mondta Szappanos Gábor, a Sophos szakértője. A támadók sokféleképpen árthatnak a QR-kódokat használóknak. Jó példa erre a QRL Jacking, amit akkor lehet végrehajtani, amikor valaki egyszer használatos jelszóként alkalmaz egy QR-kódot, amely megjelenik egy képernyőn. A támadó klónozhatja a jelzést egy legitim oldalról egy adathalász oldalra, és elküldheti azt az áldozatnak.
További aggodalomra adnak okot a hamis QR-kódok, a bűnözők ugyanis akár a saját kódjaikat is betehetik a valódi jelölések helyére. Így a marketingcélú vagy speciális ajánlatot tartalmazó kívánt oldal helyett adathalász felületre irányítják át a felhasználó okostelefonját, vagy olyan webhelyekre, amelyek JavaScript-alapú, rosszindulatú kóddal támadják meg. Kihasználhatják azt is, hogy a QR-kódokat egyre többször használják kifizetésekhez. A csaló kicserélheti a QR-kódot, amely így a legitim fizetőportál címe helyett a saját hamis fizetőoldalának URL-jére viszi a felhasználókat.
A QR-kódban használható biztonsági intézkedésekre már van is néhány javaslat: az egyiknél olyan titkosítást használnak, amely megakadályozza, hogy egy harmadik fél beléptetésre használt QR-kódokat derítsen fel és klónozzon. Egy másik javaslat szerint digitális aláírást ágyaznának a kódba, így erősítve meg a hitelességét, ez azonban az extra adatok miatt több helyet használ a kód elérhető tárolókapacitásából. Bármilyen megoldást választanak is majd, a Sophos szerint gyorsan kell cselekedni, hiszen ahogyan a QR-kódok terjednek, egyre nehezebbé válik a széles körben alkalmazott dizájnt megváltoztatni.
