Loading theme
·6 Min. Lesezeit

QR-Code-Redirect-Hijacking: Der unsichtbare Mittelsmann

Wenn Ihr QR funktioniert, ist der Mittelsmann unsichtbar. Wenn er bricht, ist es zu spät. Das Weiterleitungsmodell zu verstehen ist der erste Schritt, es zu vermeiden.

An jedem dynamischen QR-Code, den Sie je gescannt haben, war eine dritte Partei beteiligt, die Sie nie gewählt haben. Zwischen Handykamera und Zielwebsite hat ein Weiterleitungsserver des QR-Anbieters die Anfrage still weitergeleitet. Die meisten Nutzer merken das nie. Genau das ist der Punkt.

Dieser Artikel erklärt, wie Redirect-Hijacking in der Praxis aussieht, was der Mittelsmann tatsächlich tut und was auf dem Spiel steht.

Die Weiterleitungssequenz

Beim Scannen eines statischen QR für https://shop.example.com:

  1. Kamera liest den QR-Code
  2. Betriebssystem erkennt ihn als URL
  3. Browser öffnet https://shop.example.com

Drei Schritte. Keine Dritten.

Beim Scannen eines dynamischen QR zum selben Ziel:

  1. Kamera liest den QR-Code, der etwas wie https://qr-provider.com/r/x7n2 kodiert
  2. Betriebssystem öffnet diese URL
  3. qr-provider.com empfängt eine Anfrage, loggt sie, schlägt x7n2 in der Datenbank nach
  4. qr-provider.com sendet eine 301- oder 302-Weiterleitung auf https://shop.example.com
  5. Der Browser folgt der Weiterleitung und landet beim echten Ziel

Fünf Schritte. Eine zusätzliche Partei in Schritt 3 — eine, der Sie nie zugestimmt, die Sie nie bezahlt und die Sie nicht sehen.

Was der Mittelsmann bekommt

Jeder einzelne Scan erzeugt einen Servereintrag mit:

  • Zeitstempel des Scans
  • IP-Adresse des Scanners
  • User-Agent (Gerät, OS, Browser)
  • Referrer-Header (woher der Scanner kam, falls zutreffend)
  • Accept-Language-Header (Sprachpräferenz)

Daraus leitet der Anbieter ab: ungefähren Standort, Gerätetyp, OS-Version und — aggregiert — Scan-Muster über die Zeit. Kunden wird das als „Analytics" verkauft. Es ist gleichermaßen Überwachung der Menschen, die Ihre Codes scannen — die dem nie zugestimmt haben.

Was der Mittelsmann tun kann

Das Ziel ändern

Das Weiterleitungsziel liegt in der Datenbank des Anbieters. Der QR-Besitzer kann es typischerweise über ein Dashboard bearbeiten. Das wird als Feature verkauft, und für manche Fälle ist es das auch. Aber es bedeutet, dass der QR-Code nicht mehr das ist, was er zu sein scheint. Das physische Objekt sagt „scannen, um unsere Seite zu besuchen". Das tatsächliche Verhalten ist, was die Datenbank des Anbieters heute sagt.

Die Weiterleitung abschalten

Läuft das Abo des Besitzers aus, wird das Konto geschlossen oder gegen die AGB verstoßen — die Weiterleitung kann entfernt werden. Jede gedruckte Kopie des QR-Codes funktioniert sofort nicht mehr. Scanner sehen eine generische Fehlerseite oder einen 404.

Eine Zwischenseite einschieben

Manche Anbieter leiten Scans dynamischer QRs über eine gebrandete Zwischenseite vor der finalen Weiterleitung — zeigen Werbung, fordern Zustimmung, sammeln E-Mails. Der QR-Besitzer hat das meist nicht abonniert. Es wird später hinzugefügt, wenn der Anbieter aggressiver monetarisiert.

Scan-Daten verkaufen oder verlieren

Scan-Logs sind wertvoll. Sie wurden an Analytics-Broker verkauft, für Werbe-Targeting-Modelle benutzt und — in mindestens einigen dokumentierten Vorfällen — bei Einbrüchen bei Anbietern geleakt. Ihre Kunden haben ein Menü gescannt; jetzt liegt ihr Gerätefingerabdruck in einem Leak-Datensatz.

Warum Nutzer es nie merken

Moderne Browser folgen Weiterleitungen automatisch. Ohne geöffnete Entwicklertools sieht man den Zwischenhop nicht. Der Scan fühlt sich sofort an, weil eine Weiterleitung schnell ist (wenn sie funktioniert). Aus Sicht des Nutzers verhält sich ein dynamischer QR identisch zu einem statischen.

Bis der Weiterleitungsserver ausfällt. Dann driftet die Erfahrung scharf auseinander — aber zu diesem Zeitpunkt ist der QR-Code bereits auf tausend Oberflächen gedruckt.

Sicherheitsimplikationen

Ein Weiterleitungsserver ist ein Single Point of Failure für jeden davon abhängigen QR-Code. Drei Angriffsflächen, die es zu bedenken lohnt:

  • Kontoübernahme. Verschafft sich ein Angreifer Zugang zum Anbieterkonto des QR-Besitzers, kann er jeden QR auf eine Phishing-Seite umleiten. Kunden scannen den physischen Code in Erwartung des Restaurantmenüs; sie landen auf einem Login-Klon, der Zugangsdaten abgreift.
  • Kompromittierung des Anbieters. Wird der QR-Anbieter selbst gehackt, kann jeder dynamische QR im Umlauf potenziell auf durch Angreifer kontrollierte Inhalte umgeleitet werden. Das ist nicht theoretisch — Vorfallsmeldungen gibt es bei mehreren QR-as-a-Service-Anbietern.
  • DNS- oder TLS-Ausfall beim Anbieter. Löst die Weiterleitungsdomain nicht mehr auf oder läuft das TLS-Zertifikat ab, fallen alle davon abhängigen QRs aus. Kein böswilliger Akteur — gewöhnliches Betriebsrisiko, das der QR-Besitzer nicht steuert.

Statische QR-Codes haben keinen dieser Ausfallmodi, weil zwischen Scan und Ziel kein Drittanbieterserver steht.

So prüfen Sie, ob Sie eine Weiterleitung scannen

Nutzen Sie einen Scanner, der den dekodierten Inhalt vor dem Öffnen anzeigt — unser Web-Scanner tut das. Scannen Sie den QR und sehen Sie sich die dekodierte URL an. Ist es Ihr tatsächliches Ziel, ist der QR statisch. Ist es etwas wie qrco.de/xyz oder eine kurze Ihnen unbekannte Domain, ist es eine Weiterleitung — und ein Dritter sitzt dazwischen.

Die Alternative

Erzeugen Sie QR-Codes, die das Ziel direkt kodieren. Keine fremden Server, keine Weiterleitungs-Logs, kein Abo. Vollständiger Vergleich in Statische vs. dynamische QR-Codes, und warum das Mittelsmann-Modell die Branche dominiert in Die Wahrheit über QR-Code-Betrug.

Oder erzeugen Sie einfach einen statischen QR-Code und hören auf, sich zu sorgen.

Bereit für einen statischen QR-Code?

Erstellen Sie einen direkt im Browser — kein Konto, kein Tracking, kein Abo. Was Sie erstellen, gehört Ihnen.

Generator öffnenURL QR-CodeWLAN QR-Code

Verwandte Artikel

Die Wahrheit über QR-Code-Betrug: Wie „kostenlose" Generatoren Nutzer abzocken

Dynamische QR-Codes erlauben Anbietern, Ihre Codes nach dem Druck zu verfolgen, zu bearbeiten, abzuschalten und zu monetarisieren. So funktioniert die Masche — und wie Sie ihr entgehen.

Statische vs. dynamische QR-Codes: Was jeder wissen sollte

Der eine kodiert Ihren Inhalt; der andere eine Weiterleitung. Dieser einzige Unterschied entscheidet, ob Ihr QR-Code in fünf Jahren noch funktioniert.

Die Abo-Falle bei QR-Codes: Wie Anbieter Ihre Links als Geiseln halten

Der Köder ist ein kostenloser QR-Code. Der Haken: Er funktioniert nur, solange Sie zahlen. Die Falle schnappt zu an dem Tag, an dem Sie zehntausend Kopien gedruckt haben.

5 rote Flaggen, dass Ihr QR-Generator eine Falle ist

Fünf Signale, die ehrliche QR-Werkzeuge von dynamisch-voreingestellten Generatoren trennen, die Sie später Miete zahlen lassen oder Ihre Codes abschalten.