QR koda novirzīšanas nolaupīšana: Neredzamais starpnieks

Katrs dinamiskais QR kods, ko jebkad esat skenējis, iekļāva trešo pusi, kuru nekad neesat izvēlējies. Starp tālruņa kameru un galamērķa vietni QR pakalpojumu sniedzējam piederošs novirzīšanas serveris klusi pārsūtīja pieprasījumu. Lielākā daļa lietotāju to nekad nepamana. Tā ir būtība.

Šis raksts izskaidro, kā praksē izskatās novirzīšanas nolaupīšana, ko starpnieks patiesībā dara un kas ir uz spēles.

Novirzīšanas secība

Kad jūs skenējat statisku QR priekš https://shop.example.com:

1. Kamera nolasa QR kodu
2. OS to atpazīst kā URL
3. Pārlūks atver https://shop.example.com

Trīs soļi. Nav trešo pušu.

Kad jūs skenējat dinamisku QR tam pašam galamērķim:

1. Kamera nolasa QR kodu, kas kodē kaut ko līdzīgu https://qr-provider.com/r/x7n2
2. OS atver šo URL
3. qr-provider.com saņem pieprasījumu, to reģistrē, meklē x7n2 savā datubāzē
4. qr-provider.com izdod 301 vai 302 novirzīšanu uz https://shop.example.com
5. Pārlūks seko novirzīšanai un nonāk īstajā galamērķī

Pieci soļi. Papildu puse 3. solī — tāda, kurai nekad neesat devis piekrišanu, kurai nekad neesat maksājis un kuru jūs neredzat.

Ko starpnieks saņem

Katra atsevišķa skenēšana rada servera žurnāla ierakstu, kas satur:

• Skenēšanas laikspiedolu
• Skenētāja IP adresi
• Lietotāja aģenta virkni (ierīce, OS, pārlūks)
• Atsauces galvenes (no kurienes skenētājs nāca, ja piemērojams)
• Accept-Language galvenes (valodas preferenci)

No tiem pakalpojumu sniedzējs var secināt: aptuvenu ģeogrāfisko atrašanās vietu, ierīces tipu, operētājsistēmas versiju un kopumā skenēšanas modeļus laika gaitā. To tirgo klientiem kā "analītiku". Tā ir arī tikpat lielā mērā uzraudzība tiem cilvēkiem, kas skenē jūsu kodus — kuri nekad nav devuši piekrišanu.

Ko starpnieks var darīt

Mainīt galamērķi

Novirzīšanas galamērķis dzīvo pakalpojumu sniedzēja datubāzē. QR īpašnieks parasti to var rediģēt caur vadības paneli. Tas tiek pārdots kā funkcija, un dažiem lietošanas gadījumiem tas patiesi ir. Bet tas nozīmē, ka QR kods vairs nav tas, kas šķiet. Fiziskais artefakts saka "skenējiet, lai apmeklētu mūsu vietni". Faktiskā uzvedība ir tas, ko šodien saka pakalpojumu sniedzēja datubāze.

Atspējot novirzīšanu

Ja īpašnieka abonēšana beidzas vai konts tiek slēgts vai tiek pārkāpti pakalpojumu sniedzēja noteikumi, novirzīšanu var noņemt. Katra QR koda drukātā kopija nekavējoties pārstāj darboties. Lietotāji skenē un redz vispārīgu kļūdas lapu vai 404.

Ievietot starplapu

Daži pakalpojumu sniedzēji virza dinamiskās QR skenēšanas caur zīmolotu starplapu pirms galīgās novirzīšanas — rādot reklāmas, lūdzot piekrišanu, savācot e-pasta adreses. QR īpašnieks parasti tam nav pieteicies. Tas tiek pievienots vēlāk, kad pakalpojumu sniedzējs monetizē agresīvāk.

Pārdot vai zaudēt skenēšanas datus

Skenēšanas žurnāli ir vērtīgi. Tie ir pārdoti analītikas brokeriem, izmantoti reklāmu mērķauditorijas modeļu apmācīšanai un — vismaz dažos dokumentētos pārkāpumos — noplūduši, kad pakalpojumu sniedzēji tika kompromitēti. Jūsu klienti skenēja ēdienkarti; tagad viņu ierīces pirkstu nospiedums dzīvo pārkāpuma datu kopā.

Kāpēc lietotāji nekad nepamana

Mūsdienu pārlūki automātiski seko novirzīšanām. Ja vien jums nav atvērti izstrādātāja rīki, jūs neredzat starplēcienu. Skenēšana šķiet tūlītēja, jo novirzīšana ir ātra (kad tā darbojas). No lietotāja viedokļa dinamiskais QR uzvedas identiski statiskajam.

Līdz novirzīšanas serveris neizdodas. Tad pieredze strauji atšķiras — bet tajā brīdī QR kods jau ir izdrukāts uz tūkstošiem virsmu.

Drošības sekas

Novirzīšanas serveris ir viens atteices punkts katram QR kodam, kas no tā ir atkarīgs. Trīs uzbrukuma virsmas, kas vērtas apsvērt:

• Konta pārņemšana. Ja uzbrucējs iegūst piekļuvi QR īpašnieka pakalpojumu sniedzēja kontam, viņš var pārvirzīt katru QR uz pikšķerēšanas lapu. Klienti skenē fizisko kodu, gaidot restorāna ēdienkarti; viņi nonāk uz restorāna pieteikšanās lapas akreditācijas datu ievācēja klona.
• Pakalpojumu sniedzēja kompromiss. Ja pats QR pakalpojumu sniedzējs tiek pārkāpts, katrs apritē esošais dinamiskais QR potenciāli tiek pārvirzīts uz uzbrucēja kontrolētu saturu. Tas nav teorētiski — pārkāpumu atklāšanas pastāv vairākiem QR-as-a-service pakalpojumu sniedzējiem.
• DNS vai TLS atteice pakalpojumu sniedzēja pusē. Ja novirzīšanas domēns pārstāj atrisināties vai TLS sertifikāts beidzas, katrs no tā atkarīgais QR neizdodas. Nevis ļaunprātīgs aktieris — vienkārši parasts darbības risks, ko QR īpašnieks nekontrolē.

Statiskajiem QR kodiem nav neviena no šiem atteices režīmiem, jo starp skenēšanu un galamērķi nav trešās puses servera.

Kā pārbaudīt, vai skenējat novirzīšanu

Izmantojiet QR skenētāju, kas parāda atšifrēto saturu pirms tā sekošanas — mūsu tīmekļa skenētājs to dara. Skenējiet QR kodu un pārbaudiet atšifrēto URL. Ja tas ir jūsu faktiskais galamērķis, QR ir statisks. Ja tas ir kaut kas kā qrco.de/xyz vai īss domēns, kuru neatpazīstat, tā ir novirzīšana — un vidū sēž trešā puse.

Alternatīva

Ģenerējiet QR kodus, kas kodē jūsu galamērķi tieši. Bez trešās puses serveriem, bez novirzīšanas žurnāliem, bez abonēšanas. Skatiet statiski vs dinamiski QR kodi pilnam salīdzinājumam un patiesība par QR kodu krāpniecībām par to, kāpēc starpnieka modelis dominē nozarē.

Vai vienkārši ģenerējiet statisku QR kodu un beidziet uztraukties.