ربودن ریدایرکت کد QR: واسطه نامرئی

هر کد QR دینامیکی که تاکنون اسکن کرده‌اید شامل یک شخص ثالث بوده است که هرگز انتخاب نکرده‌اید. بین دوربین تلفن و وبسایت مقصد، یک سرور ریدایرکت متعلق به ارائه‌دهنده QR بی‌صدا درخواست را منتقل می‌کرد. اکثر کاربران هرگز متوجه نمی‌شوند. این نکته است.

این مقاله توضیح می‌دهد که ربودن ریدایرکت در عمل چگونه به نظر می‌رسد، واسطه واقعاً چه می‌کند، و چه چیزی در خطر است.

توالی ریدایرکت

وقتی یک QR استاتیک برای https://shop.example.com را اسکن می‌کنید:

1. دوربین کد QR را می‌خواند
2. سیستم‌عامل آن را به عنوان URL تشخیص می‌دهد
3. مرورگر https://shop.example.com را باز می‌کند

سه مرحله. بدون شخص ثالث.

وقتی یک QR دینامیک برای همان مقصد را اسکن می‌کنید:

1. دوربین کد QR را می‌خواند، که چیزی شبیه https://qr-provider.com/r/x7n2 را کدگذاری می‌کند
2. سیستم‌عامل آن URL را باز می‌کند
3. qr-provider.com درخواست دریافت می‌کند، آن را لاگ می‌کند، x7n2 را در پایگاه داده خود جستجو می‌کند
4. qr-provider.com یک ریدایرکت 301 یا 302 به https://shop.example.com صادر می‌کند
5. مرورگر ریدایرکت را دنبال می‌کند و به مقصد واقعی می‌رسد

پنج مرحله. یک طرف اضافی در مرحله ۳ — یکی که هرگز با آن موافقت نکرده‌اید، هرگز پرداخت نکرده‌اید، و نمی‌توانید ببینید.

واسطه چه چیزی دریافت می‌کند

هر اسکن یک ورودی لاگ سرور تولید می‌کند که حاوی این موارد است:

• زمان اسکن
• آدرس IP اسکنر
• رشته user-agent (دستگاه، سیستم‌عامل، مرورگر)
• هدر ریفرر (اسکنر از کجا آمده، در صورت اعمال)
• هدر Accept-Language (ترجیح زبان)

از این‌ها، ارائه‌دهنده می‌تواند استنباط کند: موقعیت جغرافیایی تقریبی، نوع دستگاه، نسخه سیستم‌عامل، و در مجموع، الگوهای اسکن در طول زمان. این به مشتریان به عنوان «تحلیل» بازاریابی می‌شود. این همچنین به همان اندازه، نظارت بر افرادی است که کدهای شما را اسکن می‌کنند — که هرگز رضایت نداده‌اند.

واسطه چه می‌تواند بکند

تغییر مقصد

مقصد ریدایرکت در پایگاه داده ارائه‌دهنده زندگی می‌کند. مالک QR معمولاً می‌تواند از طریق یک داشبورد آن را ویرایش کند. این به عنوان یک ویژگی فروخته می‌شود، و برای برخی موارد استفاده واقعاً اینطور است. اما این به این معنی است که کد QR دیگر آن چیزی که به نظر می‌رسد نیست. شیء فیزیکی می‌گوید «برای بازدید از سایت ما اسکن کنید.» رفتار واقعی هر آن چیزی است که پایگاه داده ارائه‌دهنده امروز می‌گوید.

غیرفعال کردن ریدایرکت

اگر اشتراک مالک منقضی شود، یا حساب بسته شود، یا شرایط خدمات ارائه‌دهنده نقض شود، ریدایرکت می‌تواند حذف شود. هر نسخه چاپی از کد QR فوراً از کار می‌افتد. کاربران اسکن می‌کنند و یک صفحه خطای عمومی یا 404 می‌بینند.

تزریق یک صفحه میانی

برخی ارائه‌دهندگان اسکن‌های QR دینامیک را از طریق یک صفحه میانی با برند قبل از ریدایرکت نهایی مسیریابی می‌کنند — تبلیغات نمایش می‌دهند، رضایت می‌خواهند، آدرس‌های ایمیل جمع می‌کنند. مالک QR معمولاً برای این ثبت‌نام نکرده است. بعداً اضافه می‌شود، زمانی که ارائه‌دهنده به طور تهاجمی‌تری درآمدزایی می‌کند.

فروش یا از دست دادن داده‌های اسکن

لاگ‌های اسکن ارزشمند هستند. آن‌ها به کارگزاران تحلیل فروخته شده‌اند، برای آموزش مدل‌های هدف‌گذاری تبلیغات استفاده شده‌اند، و — در حداقل چند نقض مستند — هنگامی که ارائه‌دهندگان به خطر افتادند، لو رفتند. مشتریان شما یک منو را اسکن کردند؛ حالا اثر انگشت دستگاه آن‌ها در یک مجموعه داده نقض زندگی می‌کند.

چرا کاربران هرگز متوجه نمی‌شوند

مرورگرهای مدرن به طور خودکار ریدایرکت‌ها را دنبال می‌کنند. مگر اینکه ابزارهای توسعه‌دهنده باز داشته باشید، پرش میانی را نمی‌بینید. اسکن فوری احساس می‌شود چون ریدایرکت سریع است (وقتی کار می‌کند). از دیدگاه کاربر، یک QR دینامیک مشابه یک استاتیک رفتار می‌کند.

تا زمانی که سرور ریدایرکت شکست می‌خورد. سپس تجربه به شدت واگرا می‌شود — اما تا آن زمان، کد QR در حال حاضر روی هزار سطح چاپ شده است.

پیامدهای امنیتی

یک سرور ریدایرکت یک نقطه شکست واحد برای هر کد QR است که به آن وابسته است. سه سطح حمله شایسته در نظر گرفته شدن:

• تصرف حساب. اگر یک مهاجم به حساب ارائه‌دهنده مالک QR دسترسی پیدا کند، می‌تواند هر QR را به یک صفحه فیشینگ ریدایرکت کند. مشتریان کد فیزیکی را با انتظار منوی رستوران اسکن می‌کنند؛ در یک کلون جمع‌آوری اعتبارنامه از صفحه ورود رستوران قرار می‌گیرند.
• خطر افتادن ارائه‌دهنده. اگر خود ارائه‌دهنده QR نقض شود، هر QR دینامیک در گردش بالقوه به محتوای کنترل‌شده توسط مهاجم هدایت می‌شود. این نظری نیست — افشای نقض برای چندین ارائه‌دهنده QR-as-a-service وجود دارد.
• شکست DNS یا TLS در ارائه‌دهنده. اگر دامنه ریدایرکت دیگر حل نشود یا گواهی TLS منقضی شود، هر QR وابسته به آن شکست می‌خورد. بازیگر مخرب نیست — فقط ریسک عملیاتی معمولی که مالک QR کنترل نمی‌کند.

کدهای QR استاتیک هیچ یک از این حالت‌های شکست را ندارند، چون بین اسکن و مقصد هیچ سرور شخص ثالثی وجود ندارد.

چگونه بررسی کنیم که آیا شما یک ریدایرکت را اسکن می‌کنید

از یک اسکنر QR استفاده کنید که محتوای رمزگشایی شده را قبل از دنبال کردن آن نشان می‌دهد — اسکنر وب ما این کار را می‌کند. کد QR را اسکن کنید و URL رمزگشایی شده را بررسی کنید. اگر مقصد واقعی شماست، QR استاتیک است. اگر چیزی شبیه qrco.de/xyz یا یک دامنه کوتاه که نمی‌شناسید است، یک ریدایرکت است — و یک شخص ثالث در وسط نشسته است.

جایگزین

کدهای QR تولید کنید که مقصد شما را مستقیماً کدگذاری می‌کنند. بدون سرورهای شخص ثالث، بدون لاگ‌های ریدایرکت، بدون اشتراک. برای مقایسه کامل کدهای QR استاتیک در برابر دینامیک و برای اینکه چرا مدل واسطه بر صنعت مسلط است حقیقت درباره کلاهبرداری‌های کد QR را ببینید.

یا فقط یک کد QR استاتیک تولید کنید و نگرانی را متوقف کنید.