QR kóða tilvísunarrán: Ósýnilegur milligöngumaður

Hver breytilegur QR kóði sem þú hefur nokkurn tíma skannað hafði þriðja aðila sem þú valdir aldrei. Á milli myndavélar símans og áfangavefsíðunnar hafði tilvísunarþjónn sem QR þjónustuveitandinn átti hljóðlega áframsent beiðnina. Flestir notendur taka aldrei eftir því. Það er punkturinn.

Þessi grein útskýrir hvernig tilvísunarrán lítur út í reynd, hvað milligöngumaðurinn gerir í raun og hvað er í húfi.

Tilvísunarröðin

Þegar þú skannar kyrrstæðan QR fyrir https://shop.example.com:

1. Myndavélin les QR kóðann
2. Stýrikerfið viðurkennir hann sem URL
3. Vafri opnar https://shop.example.com

Þrjú skref. Engir þriðju aðilar.

Þegar þú skannar breytilegan QR fyrir sama áfangastað:

1. Myndavélin les QR kóðann sem kóðar eitthvað eins og https://qr-provider.com/r/x7n2
2. Stýrikerfið opnar þetta URL
3. qr-provider.com fær beiðnina, loggar hana, flettir x7n2 upp í gagnagrunninum sínum
4. qr-provider.com gefur út 301 eða 302 tilvísun á https://shop.example.com
5. Vafri fylgir tilvísuninni og lendir á raunverulegum áfangastað

Fimm skref. Aukalegur aðili í skrefi 3 — einn sem þú hefur aldrei gefið samþykki, aldrei greitt og sem þú sérð ekki.

Það sem milligöngumaðurinn fær

Hver einstök skönnun býr til netþjónalogfærslu sem inniheldur:

• Skönnunartímastimpil
• IP-tölu skannans
• Notendaaðilastreng (tæki, OS, vafra)
• Tilvísanahausa (hvaðan skanninn kom, ef við á)
• Accept-Language hausa (tungumálastillingu)

Af þessu getur þjónustuveitandinn ályktað: gróf landfræðileg staðsetning, tækjategund, útgáfa stýrikerfis og almenn skönnunarmynstur með tímanum. Það er markaðssett sem „greining" fyrir viðskiptavini. Það er líka eftirlit að sama skapi fyrir fólkið sem skannar kóðana þína — sem hefur aldrei gefið samþykki.

Það sem milligöngumaðurinn getur gert

Breyta áfangastaðnum

Áfangastaður tilvísunarinnar býr í gagnagrunni þjónustuveitandans. QR eigandinn getur yfirleitt breytt því í gegnum stjórnborð. Það er selt sem eiginleiki og fyrir sum notkunartilfelli er það raunverulega það. En það þýðir að QR kóðinn er ekki lengur það sem hann sýnist vera. Líkamlegi gripurinn segir „skannaðu til að heimsækja vefsíðuna okkar". Raunverulegur hegðun er það sem gagnagrunnur þjónustuveitandans segir í dag.

Slökkva á tilvísuninni

Ef áskrift eigandans rennur út eða reikningur lokaður eða skilmálum þjónustuveitandans er brotið má fjarlægja tilvísunina. Hvert prentað eintak af QR kóðanum hættir strax að virka. Notendur skanna og sjá almenna villusíðu eða 404.

Setja inn millisíðu

Sumir þjónustuveitendur beina breytilegum QR skönnunum í gegnum vörumerkta millisíðu áður en lokatilvísun fer fram — sýna auglýsingar, biðja um samþykki, safna tölvupóstum. QR eigandinn samþykkti þetta yfirleitt ekki. Það er bætt við síðar þegar þjónustuveitandinn aflar tekna af ágengari hætti.

Selja eða tapa skönnunargögnum

Skönnunarlogar eru verðmætir. Þeir hafa verið seldir til greiningarmilliliða, notaðir til að þjálfa auglýsingamálalíkön og — í að minnsta kosti nokkrum skráðum brotum — lekið þegar þjónustuveitendur voru hakkaðir. Viðskiptavinir þínir skönnuðu matseðil; nú býr fingrafar tækja þeirra í brotagagnasetti.

Hvers vegna notendur taka aldrei eftir

Nútíma vafrar fylgja tilvísunum sjálfkrafa. Nema þú hafir þróunartæki opin, sérðu ekki millistökkið. Skönnunin finnst samstundis vegna þess að tilvísunin er hröð (þegar hún virkar). Frá sjónarhóli notanda hegðar breytilegur QR sér eins og kyrrstæður.

Þar til tilvísunarþjónninn bilar. Þá víkur upplifunin verulega — en á þeim tímapunkti er QR kóðinn þegar prentaður á þúsund yfirborð.

Öryggisafleiðingar

Tilvísunarþjónninn er einn bilunarpunktur fyrir hvern QR kóða sem er háður honum. Þrjár árásarflötar þess virði að íhuga:

• Reikningsyfirtaka. Ef árásarmaður fær aðgang að þjónustuveitandareikningi QR eigandans getur hann beint hverjum QR á vefveiðasíðu. Viðskiptavinir skanna líkamlegan kóða og búast við veitingahúsaseðli; þeir lenda á klóni af skilríkjasöfnunarsíðu innskráningarsíðu veitingahússins.
• Samkvæmissameining þjónustuveitanda. Ef QR þjónustuveitandinn sjálfur er hakkaður er hægt að beina hverjum breytilegum QR í umferð á efni sem árásarmaður stýrir. Þetta er ekki fræðilegt — brot hafa verið afhjúpuð hjá nokkrum QR-as-a-service þjónustuveitendum.
• DNS eða TLS bilun hjá þjónustuveitanda. Ef tilvísunarlénið hættir að leysast eða TLS vottorð rennur út, bila allir QR sem eru háðir því. Enginn illvilji — bara eðlilegur rekstraráhætta sem QR eigandinn stýrir ekki.

Kyrrstæðir QR kóðar hafa ekkert af þessum bilunarháttum vegna þess að enginn þjónn þriðja aðila er á milli skönnunar og áfangastaðar.

Hvernig á að athuga hvort þú sért að skanna tilvísun

Notaðu QR skanna sem sýnir afkóðaða efnið áður en því er fylgt — vefskanninn okkar gerir þetta. Skannaðu QR kóða og athugaðu afkóðaða URL-ið. Ef það er raunverulegur áfangastaðurinn þinn er QR kyrrstæður. Ef það er eitthvað eins og qrco.de/xyz eða stutt lén sem þú kannast ekki við er það tilvísun — og þriðji aðili situr í miðjunni.

Valkosturinn

Búðu til QR kóða sem kóða áfangastaðinn þinn beint. Engir þjónar þriðja aðila, engir tilvísunarlogar, engin áskrift. Sjá kyrrstæðir vs breytilegir QR kóðar fyrir fullan samanburð og sannleikurinn um QR kóða svindl fyrir af hverju milligöngumaðurslíkanið ræður ríkjum í greininni.

Eða bara búðu til kyrrstæðan QR kóða og hættu að hafa áhyggjur.