Якщо турбуєтесь про кібербезпеку, не скануйте QR-коди

QR-код  – двовимірний штрих-код, який зчитується смартфоном за допомогою камери або мобільним пристроєм з аналогічною технологією візуального сканування. Він дозволяє кодувати зображення, що містять більше 4000 символів в стислому форматі, та був розроблений в якості швидкого методу для використання статичного контенту, який заснований на конкретній задачі. Після створення програмою статичного QR-коду (на відміну від динамічного QR-коду, що може змінювати поля, такі як URL), цей код не може бути змінений для виконання іншої функції.

Дивно, але це не являється джерелом ризику кібербезпеки, навіть для динамічних QR-кодів. Ризик полягає в самому змісті, який був згенерований та потенційно відображений для сканування користувачами, які нічого не підозрюють. Як тільки вони це роблять, це може бути початком атаки.

Така інформація з’явилася у виданні Forbes, автор статті – Морей Хабер, технічний директор BeyondTrust Corporation.

Щоб зрозуміти краще, потрібно знати, що QR-код може містити багато ризиків:

• Контактна інформація – QR-код схожий на віртуальну візитку або VCD-файл, який включає всі ваші контактні дані, такі як номер телефону, адресу електронної пошти та поштову інформацію. Ця інформація автоматично зберігається в списку контактів пристроїв при скануванні. Якщо дані являються шкідливими, це може викликати експлойт на пристрої і може розмістити будь-який сторонній запис в телефоні для вашої улюбленої авіакомпанії або кредитної карти.
• Телефон – сканування QR-коду автоматично завантажує або запускає телефонний дзвінок на визначений номер. Це може бути ще одним способом отримати доступ до телефону користувача, як це відбувалось під час атак robocall та SIM-jacking.
• SMS – сканування QR-коду ініціює текстове повідомлення з встановленим контактом по імені, адресі електронної пошти або по номеру телефону. Єдине, що потрібно зробити користувачу, це натиснути «Відправити». Після цього користувач буде відкритий для атак SMS-спаму.
• Текст – сканування коду показує невелику кількість тексту в коді. Це здається невеликим ризиком, адже коди не читаються людьми, користувач не може бути впевнений, що вміст насправді є простим текстовим повідомленням.
• Електронна пошта – сканування QR-коду зберігає повне повідомлення електронної пошти з темою та отримувачем. Все, що потрібно, – це натиснути «Відправити», та це може стати початком будь-якої форми фішингу або атаки. Зловмисникам буде відома адреса електронної пошти.
• Координати місцезнаходження – сканування QR-коду автоматично відправляє координати вашого місцезнаходження в додатку з підтримкою геолокації. Якщо ви турбуєтесь про конфіденційність ваших даних та місцезнаходження, то цього варто уникати.
• Вебсайт або URL – автоматичний запуск та направлення на вебсайт. Вміст може бути шкідливим ПЗ, експлойтом або іншим небажаним контентом.
• Події календаря – додавання подій в календар пристрою, з можливістю нагадування. Це негативно може вплинути на бізнес або особистий календар.
• Профіль в соціальних мережах – доступ до особистого профілю в Instagram або Twitter, відстеження запису, використання особистої інформації.
• Мережа Wi-Fi – сканування коду дозволяє автоматично підключитись до мережі Wi-Fi. В звичайному підключенні є багато загроз.
• App store – сканування посилань на сторінку безпосередньо в магазині додатку може спростити завантаження додатків. Незважаючи на те, що це зручно, список може бути шкідливим (особливо для пристроїв Android), може бути підробленою сторінкою, що використовує вбудовану URL-адресу, щоб обдурити користувача в процесі завантаження несанкціонованого шкідливого додатку. Краще переходити на додаток при цьому не використовуючи швидке посилання.

Динамічні QR-коди генеруються лише раз, але дані на них зберігаються довго та можуть бути відредаговані в більш пізній термін. Сюди входить використання інформації про використання кодів, відстежуючих поведінку. Такі коди можуть бути перенаправлені в магазин додатків або музичну бібліотеку. Це допомагає використовувати додатки для досягнення взлому.

Важливо уникати сканування QR-кодів, які можуть бути зображені на будинках, візитках, екрані комп’ютера. Все тому, що зловмисник може вставити свій шкідливий QR-код зверху реального та створити свої особисті копії. Користувачу важко зрозуміти чи являється вміст безпечний чи небезпечний. 

Раніше ми повідомляли про те, що WhatsApp тестує нову функцію, яка дозволить додавати контакти через QR-коди.