Segrest de redirecció de codi QR: L'intermediari invisible

Cada codi QR dinàmic que mai hagis escanejat involucra un tercer que mai vas triar. Entre la càmera del telèfon i el lloc web de destinació, un servidor de redirecció propietat del proveïdor QR reenviava silenciosament la sol·licitud. La majoria d'usuaris mai ho noten. Aquest és el punt.

Aquest article explica com es veu el segrest de redirecció a la pràctica, què fa realment l'intermediari i què està en joc.

La seqüència de redirecció

Quan escaneges un QR estàtic per a https://shop.example.com:

1. La càmera llegeix el codi QR
2. El SO el reconeix com un URL
3. El navegador obre https://shop.example.com

Tres passos. Cap tercer.

Quan escaneges un QR dinàmic per a la mateixa destinació:

1. La càmera llegeix el codi QR, que codifica alguna cosa com https://qr-provider.com/r/x7n2
2. El SO obre aquell URL
3. qr-provider.com rep una sol·licitud, la registra, busca x7n2 a la seva base de dades
4. qr-provider.com emet una redirecció 301 o 302 a https://shop.example.com
5. El navegador segueix la redirecció i arriba a la destinació real

Cinc passos. Una part extra al pas 3 — una amb qui mai has acordat res, mai has pagat, i no pots veure.

Què aconsegueix l'intermediari

Cada escaneig produeix una entrada de registre de servidor que conté:

• Marca de temps de l'escaneig
• Adreça IP de l'escàner
• Cadena user-agent (dispositiu, SO, navegador)
• Capçalera referrer (d'on venia l'escàner, si és aplicable)
• Capçalera Accept-Language (preferència d'idioma)

D'aquests, el proveïdor pot inferir: ubicació geogràfica aproximada, tipus de dispositiu, versió del sistema operatiu i, en agregat, patrons d'escaneig al llarg del temps. Això es comercialitza als clients com "analítica". També és, igualment, vigilància de les persones que escanegen els teus codis — que mai van consentir.

Què pot fer l'intermediari

Canviar la destinació

La destinació de redirecció viu a la base de dades del proveïdor. El propietari del QR normalment pot editar-la a través d'un tauler. Això es ven com una característica, i per a alguns casos d'ús genuïnament ho és. Però significa que el codi QR ja no és el que sembla. L'artefacte físic diu "escaneja per visitar el nostre lloc". El comportament real és el que diu la base de dades del proveïdor avui.

Desactivar la redirecció

Si la subscripció del propietari caduca, o el compte es tanca, o les condicions de servei del proveïdor es violen, la redirecció es pot eliminar. Cada còpia impresa del codi QR deixa de funcionar immediatament. Els usuaris escanegen i veuen una pàgina d'error genèrica o 404.

Injectar una pàgina intermèdia

Alguns proveïdors encaminen els escanejos QR dinàmics a través d'una pàgina intermèdia amb marca abans de la redirecció final — mostrant anuncis, demanant consentiment, recopilant adreces de correu electrònic. El propietari del QR normalment no es va apuntar a això. S'afegeix més tard, a mesura que el proveïdor monetitza més agressivament.

Vendre o perdre les dades d'escaneig

Els registres d'escaneig són valuosos. S'han venut a intermediaris d'analítica, s'han utilitzat per entrenar models de segmentació d'anuncis i — en almenys algunes violacions documentades — han filtrat quan els proveïdors van ser compromesos. Els teus clients van escanejar un menú; ara l'empremta del seu dispositiu viu en un conjunt de dades de violació.

Per què els usuaris mai ho noten

Els navegadors moderns segueixen les redireccions automàticament. A menys que tinguis les eines de desenvolupador obertes, no veus el salt intermedi. L'escaneig se sent instantani perquè la redirecció és ràpida (quan funciona). Des del punt de vista de l'usuari, un QR dinàmic es comporta idènticament a un estàtic.

Fins que el servidor de redirecció falla. Llavors l'experiència divergeix bruscament — però en aquell moment, el codi QR ja està imprès en mil superfícies.

Implicacions de seguretat

Un servidor de redirecció és un punt únic de fallada per a cada codi QR que en depèn. Tres superfícies d'atac que val la pena considerar:

• Presa de compte. Si un atacant accedeix al compte del proveïdor del propietari del QR, pot redirigir cada QR a una pàgina de phishing. Els clients escanegen el codi físic esperant el menú del restaurant; aterren en un clon de la pàgina d'inici de sessió del restaurant que recol·lecta credencials.
• Compromís del proveïdor. Si el mateix proveïdor de QR és violat, cada QR dinàmic en circulació és potencialment reapuntat a contingut controlat per l'atacant. Això no és teòric — existeixen divulgacions de violacions per a múltiples proveïdors de QR-as-a-service.
• Fallada de DNS o TLS al proveïdor. Si el domini de redirecció deixa de resoldre's o el certificat TLS caduca, cada QR que en depèn falla. Cap actor maliciós — només risc operatiu ordinari que el propietari del QR no controla.

Els codis QR estàtics no tenen cap d'aquests modes de fallada, perquè no hi ha cap servidor de tercers entre l'escaneig i la destinació.

Com comprovar si estàs escanejant una redirecció

Utilitza un escàner QR que mostri el contingut descodificat abans de seguir-lo — el nostre escàner web ho fa. Escaneja el codi QR i inspecciona l'URL descodificat. Si és la teva destinació real, el QR és estàtic. Si és alguna cosa com qrco.de/xyz o un domini curt que no reconeixes, és una redirecció — i un tercer està assegut al mig.

L'alternativa

Genera codis QR que codifiquin la teva destinació directament. Sense servidors de tercers, sense registres de redirecció, sense subscripció. Vegeu codis QR estàtics vs dinàmics per a la comparació completa, i la veritat sobre les estafes amb codis QR per a per què el model d'intermediari domina la indústria.

O simplement genera un codi QR estàtic i deixa de preocupar-te.