QR kodai gali atrodyti nekenksmingi, tačiau jie yra rizikingesni, nei manote.
QR kodai yra populiarūs, nes juos gali greitai perskaityti skaitmeniniai įrenginiai ir daugelis dalykų tampa praktiškesni. Nuskaitydami QR kodą galite naršyti svetaines, atsisiųsti failus ir net prisijungti prie „Wi-Fi“ tinklų.
Tačiau, deja, QR kodų naudojimas taip pat kelia galimų saugumo problemų.
Kokie yra QR kodų pavojai?
Kažkas gali naudoti QR kodus, kad atakuotų tiek žmonių sąveiką, tiek automatizuotas sistemas. Norėdami imtis atsargumo priemonių, apsvarstykite keletą pavyzdžių.
SQL įpurškimo ataka
SQL injekcija yra atakos vektorius, kurį įsilaužėliai naudoja atakuodami duomenų baze pagrįstas programas. Šiuo metodu jie siekia pavogti duomenų bazės duomenis.
Norėdami tai padaryti iš QR kodo perspektyvos, įsivaizduokite scenarijų, kai QR dekodavimo programinė įranga prisijungia prie duomenų bazės ir naudoja QR kodo informaciją užklausai vykdyti. Taip pat yra a SQL injekcijos pažeidžiamumas. Tokiu atveju QR kodo skaitytuvas gali paleisti jūsų užklausą nepatikrindamas, ar ji gaunama iš autentifikuoto šaltinio. Taigi įsilaužėlis gali pavogti duomenų bazėje esančią informaciją.
Tai nėra nei taip sunku, nei sudėtinga, kaip atrodo. Kai nuskaitote QR kodą, QR kodo skaitytuve rodoma nuoroda. Pakeitus URL parametrus, galima vykdyti atakas, tokias kaip SQL injekcija. Žinoma, URL, į kurį jus nukreipia QR kodo skaitytuvas, gali leisti įvykdyti tokį atakos vektorių.
Komandinis įpurškimas
Naudodamas komandų įpurškimo metodą, užpuolikas gali įterpti HTML kodą, kuris keičia puslapio turinį. Kaskart vartotojui apsilankius pakeistame puslapyje, žiniatinklio naršyklė interpretuoja kodą, todėl įrenginyje, kuriame vartotojas nuskaito QR kodą, vykdomos kenkėjiškos komandos. Kitaip tariant, tai yra situacija, kai QR kodo įvestis naudojama kaip komandinės eilutės parametras.
Tokiu atveju užpuolikas gali tiesiog pasinaudoti situacija, pakeisdamas QR kodą ir paleisdamas savavališkas komandas įrenginyje. Užpuolikas gali naudoti šį metodą, kad įdiegtų rootkit, šnipinėjimo programas ir DoS atakas, taip pat prisijungtų prie tolimo įrenginio ir gautų prieigą prie sistemos išteklių.
Socialinė inžinerija
Socialinė inžinerija yra bendras manipuliavimo žmonėmis pavadinimas, siekiant gauti neteisėtą prieigą prie jų konfidencialios informacijos. Piratai naudoja šį metodą norėdami pavogti jūsų informaciją arba įsilaužti į sistemą. Sukčiavimas yra viena iš taktikų dažniausiai naudojami.
Sukčiavimo atveju tiksliniai žmonės yra priversti spustelėti arba apsilankyti netikrose svetainėse. QR kodai yra tikrai naudingi atliekant šį darbą, nes vartotojas, žiūrėdamas į QR kodą, negali suprasti, į kurią svetainę eiti.
Įsivaizduokite, kad prisijungiate prie svetainės, kuri atrodo taip pat kaip svetainė, pvz., „Twitter“, ir kurios URL yra panašus. Jei čia įvesite savo prisijungimo informaciją, painiodami ją su Twitter, galite prarasti savo paskyrą įsilaužėliui.
Kaip išvengti nesaugių QR kodų
Priemonių, kurių galima imtis prieš įsilaužėlių su QR kodais atakas, pradžioje pirmiausia yra asmuo, kuris yra silpniausia saugumo grandinės grandis. Kitaip tariant, vartotojas turėtų būti atsargesnis prieš socialinės inžinerijos atakas ir neturėtų nuskaityti QR kodų, kurių šaltinis nežinomas. Kadangi žmonės negali skaityti QR kodų, gali būti sunku žinoti, kuo pasitikėti. Štai kodėl turėtumėte naudoti saugius QR kodo skaitytuvus.
Atnaujinkite savo mobiliojo įrenginio operacinę sistemą ir saugiai skaitykite QR kodus naudodami programą. Daugelio šiuolaikinių mobiliųjų įrenginių kamerose yra įmontuotas QR kodo skaitytuvas. Tačiau mobiliajame įrenginyje esanti QR kodo programa, leidžianti vartotojams patikrinti URL prieš apsilankant jame, suteikia jiems galimybę patvirtinti URL, kurį ketina pasiekti, šaltinį. Šis saugos patikrinimas negalimas QR kodams, kurie nepateikia jokios papildomos informacijos. Todėl visos QR kodo skaitymo programėlės privalo vartotojui parodyti iškoduotą URL prieš atidarant nuorodą ir prašydamos patvirtinti.
Ištirkite QR kodų generavimo programinę įrangą
Patvirtinant QR kodo generatorius ir duomenų vientisumo tikrinimas bus priemonė nuo galimo sukčiavimo, SQL injekcijos ir komandų įvedimo atakų. Svarbu standartizuoti ir integruoti skaitmeninius parašus QR kodo autentifikavimui ir patikrinti, ar QR kodas buvo pakeistas, ar ne. Skaitmeniniai parašai labai apsunkina QR kodu grindžiamas atakas, nes užpuolikas turi pakeisti kontrolinę sumą ir taip pakeisti patvirtinimo procesą.
Neturėtumėte pasikliauti daugybe QR kodų generatorių, kuriuos galite rasti internete. Atkreipkite dėmesį į šių generatorių technologiją ir įmonę.
Saugokitės nesaugių URL
Lankytojų nukreipimas į nepatikimus URL yra vienas iš populiariausių QR kodo užpuolimų, dėl kurių gali būti bandoma sukčiauti ir perduota kenkėjiška programinė įranga, pvz., virusai, kirminai ir Trojos arklys. Siekiant užtikrinti internetinės medžiagos patikimumą nuo tokių užpuolimų, labai svarbu patvirtinti turinio teisėtumą nustatant, ar QR kodo skaitymo programa gali atskirti netikrą ir tikrą URL.
Saugokitės vykdomųjų kodų
Kad vykdomieji kodai arba komandos, nuskaitytos QR kodu, nepasiektų nuskaitymo įrenginio išteklių, būtina atskirti QR kodo turinį. Turinio izoliavimas gali padėti išvengti atakų, tokių kaip privatumo pažeidimai, prieiga prie asmeninės informacijos ir nuskaitymo įrenginio naudojimas atakų, tokių kaip DDoS ir robotų tinklai. Paprasčiausias būdas yra užblokuoti programų, įskaitant QR kodo nuskaitymo programas, prieigą prie nuskaitymo įrenginio išteklių (pvz., fotoaparato, telefonų knygos, nuotraukų, vietos informacijos ir kt.).
Naudokite QR kodus, bet atsargiai
Sparčiai plečiantis technologijoms, QR kodai tapo mūsų kasdienio gyvenimo dalimi. Su QR kodais susijusią riziką galite sumažinti protingai juos naudodami ir imdamiesi priemonių.
Būkite atsargūs nuskaitydami QR kodus, aptiktus internete arba realioje aplinkoje. Naudokite patikimas programas ir apsaugokite savo įrenginius naudodami naujausią antivirusinę programinę įrangą. Taip pat patartina nenuskaityti QR kodų iš įtartinų ar nepatikimų svetainių ir neskelbti asmeninės informacijos.