QR-koodi ümbersuunamise kaaperdamine: Nähtamatu vahendaja

Iga dünaamiline QR-kood, mida olete kunagi skanneerinud, hõlmas kolmandat osapoolt, keda te kunagi valinud ei ole. Telefoni kaamera ja sihtveebisaidi vahel edastas QR-teenusepakkujale kuuluv ümbersuunamise server päringu vaikselt. Enamik kasutajaid seda kunagi ei märka. See ongi mõte.

See artikkel selgitab, kuidas ümbersuunamise kaaperdamine praktikas välja näeb, mida vahendaja tegelikult teeb ja mis on kaalul.

Ümbersuunamise järjekord

Kui skannite staatilise QR-i https://shop.example.com jaoks:

1. Kaamera loeb QR-koodi
2. OS tuvastab selle URL-ina
3. Brauser avab https://shop.example.com

Kolm sammu. Kolmandaid osapooli pole.

Kui skannite dünaamilise QR-i sama sihtkoha jaoks:

1. Kaamera loeb QR-koodi, mis kodeerib midagi sellist nagu https://qr-provider.com/r/x7n2
2. OS avab selle URL-i
3. qr-provider.com saab päringu, logib selle, otsib oma andmebaasist x7n2
4. qr-provider.com väljastab 301 või 302 ümbersuunamise aadressile https://shop.example.com
5. Brauser järgib ümbersuunamist ja jõuab tegeliku sihtkohani

Viis sammu. Lisaosapool 3. sammul — üks, kellega te pole kunagi nõustunud, pole kunagi maksnud ja keda te ei näe.

Mida vahendaja saab

Iga üksik skannimine toodab serverilogi kirje, mis sisaldab:

• Skannimise ajatemplit
• Skanneri IP-aadressi
• User-agent-stringi (seade, OS, brauser)
• Refereri päist (kust skanner tuli, kui kohaldatav)
• Accept-Language päist (keele-eelistus)

Nende põhjal saab teenusepakkuja tuletada: ligikaudse geograafilise asukoha, seadme tüübi, operatsioonisüsteemi versiooni ja kokkuvõttes skannimismustrid aja jooksul. Seda turundatakse klientidele kui „analüütikat". See on ka sama palju teie koode skannivate inimeste — kes pole kunagi nõustunud — jälgimine.

Mida vahendaja saab teha

Muuta sihtkohta

Ümbersuunamise sihtkoht elab teenusepakkuja andmebaasis. QR-i omanik saab seda tavaliselt muuta töölaua kaudu. Seda müüakse funktsioonina ja mõnede kasutusjuhtumite puhul on see tõeliselt nii. Kuid see tähendab, et QR-kood pole enam see, millena see tundub. Füüsiline artefakt ütleb „skannige, et külastada meie saiti". Tegelik käitumine on see, mida teenusepakkuja andmebaas täna ütleb.

Keelata ümbersuunamine

Kui omaniku tellimus aegub või konto suletakse või teenusepakkuja teenusetingimusi rikutakse, saab ümbersuunamise eemaldada. Iga QR-koodi trükitud koopia lõpetab kohe töötamise. Kasutajad skannivad ja näevad üldist veateadet või 404.

Sisestada vahelehekülg

Mõned teenusepakkujad suunavad dünaamilised QR-skannimised enne lõplikku ümbersuunamist läbi brändiga vahelehekülje — kuvades reklaame, küsides nõusolekut, kogudes e-posti aadresse. QR-i omanik ei registreerunud tavaliselt selleks. See lisatakse hiljem, kui teenusepakkuja monetiseerib agressiivsemalt.

Müüa või kaotada skannimise andmed

Skannimislogid on väärtuslikud. Neid on müüdud analüütika vahendajatele, kasutatud reklaamide sihitamise mudelite treenimiseks ja — vähemalt mõnes dokumenteeritud rikkumises — on lekkinud, kui teenusepakkujad kompromiteeriti. Teie kliendid skannisid menüü; nüüd elab nende seadme sõrmejälg rikkumise andmestikus.

Miks kasutajad kunagi ei märka

Kaasaegsed brauserid järgivad ümbersuunamisi automaatselt. Kui teil ei ole arendajatööriistad avatud, ei näe te vahelülide hüpet. Skannimine tundub vahetu, sest ümbersuunamine on kiire (kui see töötab). Kasutaja vaatenurgast käitub dünaamiline QR identselt staatilisega.

Kuni ümbersuunamise server ebaõnnestub. Siis lahkneb kogemus järsult — kuid selleks ajaks on QR-kood juba trükitud tuhandetele pindadele.

Turvalisuse mõjud

Ümbersuunamise server on ühe vea punkt iga sellest sõltuva QR-koodi jaoks. Kolm kaalumisväärset rünnakupinda:

• Konto ülevõtmine. Kui ründaja saab juurdepääsu QR-i omaniku teenusepakkuja kontole, saab ta iga QR-i suunata ümber andmepüügilehele. Kliendid skannivad füüsilist koodi, oodates restorani menüüd; satuvad restorani sisselogimislehe mandaadikoguvasse kloonile.
• Teenusepakkuja kompromiteerimine. Kui QR-teenusepakkujat ennast rikutakse, võidakse iga ringluses olev dünaamiline QR suunata ründaja kontrollitud sisule. See pole teoreetiline — rikkumiste avalikustamised on olemas mitme QR-as-a-service teenusepakkuja jaoks.
• DNS või TLS tõrge teenusepakkuja juures. Kui ümbersuunamisedomeen lõpetab resolveerimise või TLS-sertifikaat aegub, ebaõnnestub iga sellest sõltuv QR. Mitte pahatahtlik tegutseja — lihtsalt tavaline toimimisrisk, mida QR-i omanik ei kontrolli.

Staatilistel QR-koodidel pole ühtegi neist rikkerežiimidest, sest skannimise ja sihtkoha vahel pole kolmanda osapoole serverit.

Kuidas kontrollida, kas skannite ümbersuunamist

Kasutage QR-skannerit, mis kuvab dekodeeritud sisu enne selle järgimist — meie veebiskanner teeb seda. Skannige QR-koodi ja kontrollige dekodeeritud URL-i. Kui see on teie tegelik sihtkoht, on QR staatiline. Kui see on midagi sellist nagu qrco.de/xyz või lühike domeen, mida te ei tunne, on see ümbersuunamine — ja keskel istub kolmas osapool.

Alternatiiv

Genereerige QR-koode, mis kodeerivad teie sihtkoha otse. Pole kolmanda osapoole servereid, ümbersuunamise logisid, tellimust. Vaadake staatilised vs dünaamilised QR-koodid täieliku võrdluse ja tõde QR-koodi pettuste kohta jaoks, miks vahendaja mudel tööstust domineerib.

Või lihtsalt genereerige staatiline QR-kood ja lõpetage muretsemine.