QR-koodin uudelleenohjauksen kaappaus: Näkymätön välikäsi

Jokainen skannaamasi dynaaminen QR-koodi sisälsi kolmannen osapuolen, jota et koskaan valinnut. Puhelimen kameran ja kohdesivuston välillä QR-palveluntarjoajan omistama uudelleenohjauspalvelin välitti hiljaa pyynnön. Useimmat käyttäjät eivät koskaan huomaa. Siinä onkin pointti.

Tämä artikkeli selittää, miltä uudelleenohjauksen kaappaus näyttää käytännössä, mitä välikäsi oikeasti tekee ja mistä on kyse.

Uudelleenohjausjakso

Kun skannaat staattisen QR:n osoitteelle https://shop.example.com:

1. Kamera lukee QR-koodin
2. OS tunnistaa sen URL-osoitteeksi
3. Selain avaa osoitteen https://shop.example.com

Kolme vaihetta. Ei kolmansia osapuolia.

Kun skannaat dynaamisen QR:n samaan kohteeseen:

1. Kamera lukee QR-koodin, joka koodaa jotain sellaista kuin https://qr-provider.com/r/x7n2
2. OS avaa kyseisen URL-osoitteen
3. qr-provider.com vastaanottaa pyynnön, loggaa sen, etsii x7n2:n tietokannastaan
4. qr-provider.com antaa 301- tai 302-uudelleenohjauksen osoitteeseen https://shop.example.com
5. Selain seuraa uudelleenohjausta ja saapuu oikeaan kohteeseen

Viisi vaihetta. Ylimääräinen osapuoli vaiheessa 3 — sellainen, johon et koskaan suostunut, jota et koskaan maksanut ja jota et voi nähdä.

Mitä välikäsi saa

Jokainen yksittäinen skannaus tuottaa palvelinlokimerkinnän, joka sisältää:

• Skannauksen aikaleiman
• Skannerin IP-osoitteen
• Käyttäjäagentti-merkkijonon (laite, OS, selain)
• Referer-otsikon (mistä skanneri tuli, jos sovellettavissa)
• Accept-Language-otsikon (kielivalinta)

Näistä palveluntarjoaja voi päätellä: likimääräisen maantieteellisen sijainnin, laitetyypin, käyttöjärjestelmän version ja kokonaisuudessaan skannauskuviot ajan myötä. Tätä markkinoidaan asiakkaille nimellä "analytiikka". Se on myös yhtä lailla niiden ihmisten valvontaa, jotka skannaavat koodejasi — jotka eivät koskaan suostuneet.

Mitä välikäsi voi tehdä

Muuttaa kohteen

Uudelleenohjauksen kohde elää palveluntarjoajan tietokannassa. QR:n omistaja voi yleensä muokata sitä hallintapaneelin kautta. Tätä myydään ominaisuutena, ja joihinkin käyttötapauksiin se on aito. Mutta se tarkoittaa, että QR-koodi ei ole enää sitä, miltä se näyttää. Fyysinen esine sanoo "skannaa vieraillaksesi sivustollamme". Todellinen käyttäytyminen on se, mitä palveluntarjoajan tietokanta sanoo tänään.

Poistaa uudelleenohjauksen käytöstä

Jos omistajan tilaus raukeaa tai tili suljetaan tai palveluntarjoajan ehtoja rikotaan, uudelleenohjaus voidaan poistaa. Jokainen tulostettu kopio QR-koodista lakkaa välittömästi toimimasta. Käyttäjät skannaavat ja näkevät yleisen virhesivun tai 404:n.

Lisätä välisivun

Jotkut palveluntarjoajat reitittävät dynaamiset QR-skannaukset brändätyn välisivun kautta ennen lopullista uudelleenohjausta — näyttäen mainoksia, pyytäen suostumusta, kerätten sähköpostiosoitteita. QR:n omistaja ei yleensä suostunut tähän. Se lisätään myöhemmin, kun palveluntarjoaja rahastaa aggressiivisemmin.

Myydä tai menettää skannausdata

Skannauslokit ovat arvokkaita. Niitä on myyty analytiikkavälittäjille, käytetty mainoskohdistusmallien koulutukseen ja — ainakin muutamassa dokumentoidussa tapauksessa — vuotaneet, kun palveluntarjoajat on murrettu. Asiakkaasi skannasivat ruokalistan; nyt heidän laitteensa sormenjälki elää murtautumisdatasetissä.

Miksi käyttäjät eivät koskaan huomaa

Nykyaikaiset selaimet seuraavat uudelleenohjauksia automaattisesti. Ellei sinulla ole kehittäjätyökaluja auki, et näe välihypyä. Skannaus tuntuu välittömältä, koska uudelleenohjaus on nopea (kun se toimii). Käyttäjän näkökulmasta dynaaminen QR käyttäytyy samalla tavalla kuin staattinen.

Kunnes uudelleenohjauspalvelin epäonnistuu. Silloin kokemus eroaa jyrkästi — mutta siihen mennessä QR-koodi on jo tulostettu tuhansille pinnoille.

Turvallisuusvaikutukset

Uudelleenohjauspalvelin on yksittäinen vikakohta jokaiselle QR-koodille, joka on siitä riippuvainen. Kolme huomionarvoista hyökkäyspintaa:

• Tilin kaappaus. Jos hyökkääjä saa pääsyn QR:n omistajan palveluntarjoajatilille, hän voi ohjata jokaisen QR:n phishing-sivulle. Asiakkaat skannaavat fyysisen koodin odottaen ravintolan ruokalistaa; he laskeutuvat ravintolan kirjautumissivun credential-harvesting-klooniin.
• Palveluntarjoajan murtaminen. Jos QR-palveluntarjoaja itse murretaan, jokainen liikkeessä oleva dynaaminen QR voidaan mahdollisesti ohjata hyökkääjän hallitsemaan sisältöön. Tämä ei ole teoreettista — murtautumisilmoituksia on olemassa useille QR-as-a-service-palveluntarjoajille.
• DNS- tai TLS-epäonnistuminen palveluntarjoajalla. Jos uudelleenohjausdomain lakkaa resolvoitumasta tai TLS-varmenne vanhenee, jokainen siitä riippuvainen QR epäonnistuu. Ei haitallista toimijaa — vain tavallinen toimintariski, jota QR:n omistaja ei hallitse.

Staattisilla QR-koodeilla ei ole mitään näistä vikatilaista, koska skannauksen ja kohteen välissä ei ole kolmannen osapuolen palvelinta.

Kuinka tarkistaa, skannaatko uudelleenohjausta

Käytä QR-skanneria, joka näyttää puretun sisällön ennen kuin seuraa sitä — web-skannerimme tekee niin. Skannaa QR-koodi ja tarkista purettu URL. Jos se on todellinen kohteesi, QR on staattinen. Jos se on jotain sellaista kuin qrco.de/xyz tai lyhyt domain, jota et tunnista, se on uudelleenohjaus — ja kolmas osapuoli istuu keskellä.

Vaihtoehto

Luo QR-koodeja, jotka koodaavat kohteesi suoraan. Ei kolmannen osapuolen palvelimia, ei uudelleenohjauslokien, ei tilausta. Katso staattiset vs dynaamiset QR-koodit täydellistä vertailua varten ja totuus QR-koodihuijauksista siitä, miksi välikäsimalli hallitsee alaa.

Tai vain luo staattinen QR-koodi ja lopeta huolehtiminen.