Отвличане на пренасочване на QR код: Невидимият посредник

Всеки динамичен QR код, който някога сте сканирали, е включвал трета страна, която никога не сте избирали. Между камерата на телефона и уебсайта на дестинацията, сървър за пренасочване, собственост на доставчика на QR, тихо препраща заявката. Повечето потребители никога не забелязват. Това е целта.

Тази статия обяснява как изглежда отвличането на пренасочване на практика, какво всъщност прави посредникът и какво е на карта.

Последователността на пренасочването

Когато сканирате статичен QR за https://shop.example.com:

1. Камерата чете QR кода
2. OS го разпознава като URL
3. Браузърът отваря https://shop.example.com

Три стъпки. Без трети страни.

Когато сканирате динамичен QR за същата дестинация:

1. Камерата чете QR кода, който кодира нещо като https://qr-provider.com/r/x7n2
2. OS отваря този URL
3. qr-provider.com получава заявка, логва я, търси x7n2 в своята база данни
4. qr-provider.com издава 301 или 302 пренасочване към https://shop.example.com
5. Браузърът следва пренасочването и пристига на истинската дестинация

Пет стъпки. Допълнителна страна на стъпка 3 — такава, с която никога не сте се съгласявали, никога не сте плащали и не можете да видите.

Какво получава посредникът

Всяко едно сканиране произвежда запис в сървърен лог, съдържащ:

• Времева марка на сканирането
• IP адрес на скенера
• User-agent низ (устройство, OS, браузър)
• Referrer хедър (откъдето е дошъл скенерът, ако е приложимо)
• Accept-Language хедър (езикови предпочитания)

От тези данни доставчикът може да изведе: приблизителната географска локация, типа устройство, версията на операционната система и общо, моделите на сканиране във времето. Това се рекламира на клиентите като „анализи". Също така, в равна степен, е наблюдение на хората, които сканират вашите кодове — които никога не са дали съгласие.

Какво може да направи посредникът

Промяна на дестинацията

Дестинацията за пренасочване живее в базата данни на доставчика. Собственикът на QR обикновено може да я редактира чрез dashboard. Това се продава като функция и за някои случаи на употреба наистина е. Но това означава, че QR кодът вече не е това, което изглежда. Физическият артефакт казва „сканирайте, за да посетите нашия сайт". Действителното поведение е това, което казва базата данни на доставчика днес.

Деактивиране на пренасочването

Ако абонаментът на собственика изтече, или акаунтът е затворен, или условията на услугата на доставчика са нарушени, пренасочването може да бъде премахнато. Всяко отпечатано копие на QR кода незабавно спира да работи. Потребителите сканират и виждат обща страница за грешка или 404.

Вмъкване на междинна страница

Някои доставчици маршрутизират динамичните QR сканирания през брандирана междинна страница преди окончателното пренасочване — показвайки реклами, искайки съгласие, събирайки имейл адреси. Собственикът на QR обикновено не се е записал за това. Добавя се по-късно, когато доставчикът монетизира по-агресивно.

Продаване или загуба на данни от сканиране

Логовете на сканиране са ценни. Те са били продавани на брокери за анализи, използвани за обучение на модели за таргетиране на реклами и — в поне няколко документирани нарушения — изтекли, когато доставчиците са били компрометирани. Вашите клиенти са сканирали меню; сега отпечатъкът на устройството им живее в набор от данни за изтичане.

Защо потребителите никога не забелязват

Модерните браузъри следват пренасочванията автоматично. Освен ако нямате отворени developer tools, не виждате междинния скок. Сканирането усеща се мигновено, защото пренасочването е бързо (когато работи). От гледна точка на потребителя, динамичен QR се държи идентично със статичен.

Докато сървърът за пренасочване не се провали. Тогава изживяването се разминава рязко — но в този момент QR кодът вече е отпечатан на хиляди повърхности.

Последици за сигурността

Сървър за пренасочване е единствена точка на провал за всеки QR код, който зависи от него. Три повърхности за атака, заслужаващи разглеждане:

• Завземане на акаунт. Ако нападател получи достъп до акаунта на доставчика на собственика на QR, той може да пренасочи всеки QR към фишинг страница. Клиентите сканират физическия код, очаквайки меню на ресторанта; приземяват се на клонинг на страницата за вход на ресторанта, събиращ удостоверения.
• Компрометиране на доставчик. Ако самият доставчик на QR е нарушен, всеки динамичен QR в обръщение е потенциално пренасочен към съдържание, контролирано от нападател. Това не е теоретично — разкрития за нарушения съществуват за множество доставчици на QR-as-a-service.
• DNS или TLS провал на доставчика. Ако домейнът за пренасочване спре да се резолвира или TLS сертификатът изтече, всеки QR, зависим от него, се проваля. Не злонамерен актьор — просто обикновен операционен риск, който собственикът на QR не контролира.

Статичните QR кодове нямат нито един от тези режими на провал, защото няма сървър на трета страна между сканирането и дестинацията.

Как да проверите дали сканирате пренасочване

Използвайте QR скенер, който показва декодираното съдържание преди да го последва — нашият уеб скенер прави това. Сканирайте QR кода и инспектирайте декодирания URL. Ако е вашата действителна дестинация, QR е статичен. Ако е нещо като qrco.de/xyz или кратък домейн, който не разпознавате, това е пренасочване — и трета страна седи в средата.

Алтернативата

Генерирайте QR кодове, които кодират вашата дестинация директно. Без сървъри на трети страни, без логове за пренасочване, без абонамент. Вижте статични срещу динамични QR кодове за пълното сравнение и истината за измамите с QR кодове за това защо моделът на посредник доминира индустрията.

Или просто генерирайте статичен QR код и спрете да се тревожите.