Rampasan pengalihan kod QR: Perantara yang tidak kelihatan

Setiap kod QR dinamik yang pernah anda imbas melibatkan pihak ketiga yang anda tidak pernah pilih. Antara kamera telefon dan tapak destinasi, pelayan pengalihan yang dimiliki oleh penyedia QR secara senyap memajukan permintaan. Kebanyakan pengguna tidak pernah menyedarinya. Itulah intinya.

Artikel ini menerangkan seperti apa rampasan pengalihan dalam amalan, apa yang sebenarnya dilakukan oleh perantara dan apa yang dipertaruhkan.

Urutan pengalihan

Apabila anda mengimbas QR statik untuk https://shop.example.com:

1. Kamera membaca kod QR
2. OS mengenalinya sebagai URL
3. Pelayar membuka https://shop.example.com

Tiga langkah. Tiada pihak ketiga.

Apabila anda mengimbas QR dinamik untuk destinasi yang sama:

1. Kamera membaca kod QR yang mengekod sesuatu seperti https://qr-provider.com/r/x7n2
2. OS membuka URL ini
3. qr-provider.com menerima permintaan, log, mencari x7n2 dalam pangkalan datanya
4. qr-provider.com mengeluarkan pengalihan 301 atau 302 ke https://shop.example.com
5. Pelayar mengikut pengalihan dan mendarat di destinasi sebenar

Lima langkah. Pihak tambahan dalam langkah 3 — satu yang anda tidak pernah berikan persetujuan, tidak pernah bayar dan yang tidak anda lihat.

Apa yang perantara dapat

Setiap imbasan individu menjana entri log pelayan yang mengandungi:

• Cap masa imbasan
• Alamat IP pengimbas
• Rentetan ejen pengguna (peranti, OS, pelayar)
• Pengepala rujukan (dari mana pengimbas datang, jika berkenaan)
• Pengepala Accept-Language (keutamaan bahasa)

Daripada ini, penyedia boleh membuat kesimpulan: lokasi geografi anggaran, jenis peranti, versi sistem pengendalian dan corak imbasan umum dari masa ke masa. Ini dipasarkan sebagai "analitik" kepada pelanggan. Ia juga merupakan pengawasan yang sama untuk orang yang mengimbas kod anda — yang tidak pernah memberi persetujuan.

Apa yang perantara boleh lakukan

Tukar destinasi

Destinasi pengalihan berada dalam pangkalan data penyedia. Pemilik QR biasanya boleh menyuntingnya melalui papan pemuka. Ini dijual sebagai ciri, dan untuk beberapa kes penggunaan, ia sememangnya. Tetapi ia bermakna kod QR bukan lagi apa yang kelihatan. Artifak fizikal menyatakan "imbas untuk melawati tapak web kami". Tingkah laku sebenar adalah apa yang pangkalan data penyedia katakan hari ini.

Lumpuhkan pengalihan

Jika langganan pemilik tamat tempoh atau akaun ditutup atau syarat penyedia dilanggar, pengalihan boleh dialih keluar. Setiap salinan bercetak kod QR dengan serta-merta berhenti berfungsi. Pengguna mengimbas dan melihat halaman ralat generik atau 404.

Sisipkan halaman antara

Sesetengah penyedia mengarahkan imbasan QR dinamik melalui halaman antara berjenama sebelum pengalihan akhir — memaparkan iklan, meminta persetujuan, mengumpul e-mel. Pemilik QR biasanya tidak mendaftar untuk ini. Ia ditambah kemudian apabila penyedia memonetasikan dengan lebih agresif.

Jual atau kehilangan data imbasan

Log imbasan berharga. Ia telah dijual kepada broker analitik, digunakan untuk melatih model penargetan iklan dan — dalam sekurang-kurangnya beberapa pelanggaran yang didokumentasikan — bocor apabila penyedia dikompromi. Pelanggan anda mengimbas menu; kini cap jari peranti mereka tinggal dalam set data pelanggaran.

Mengapa pengguna tidak pernah menyedari

Pelayar moden mengikuti pengalihan secara automatik. Kecuali anda mempunyai alat pembangun dibuka, anda tidak melihat lompatan perantara. Imbasan terasa serta-merta kerana pengalihan adalah pantas (apabila ia berfungsi). Dari perspektif pengguna, QR dinamik berkelakuan sama dengan statik.

Sehinggalah pelayan pengalihan gagal. Kemudian pengalaman menyimpang secara mendadak — tetapi pada masa itu kod QR sudah dicetak pada beribu-ribu permukaan.

Implikasi keselamatan

Pelayan pengalihan ialah satu titik kegagalan untuk setiap kod QR yang bergantung padanya. Tiga permukaan serangan yang patut dipertimbangkan:

• Pengambilalihan akaun. Jika penyerang mendapat akses ke akaun penyedia pemilik QR, mereka boleh mengarahkan semula setiap QR ke halaman pancingan. Pelanggan mengimbas kod fizikal, menjangkakan menu restoran; mereka mendarat di klon pengumpul bukti kelayakan halaman log masuk restoran.
• Pengkompromian penyedia. Jika penyedia QR itu sendiri dibobol, setiap QR dinamik dalam edaran berpotensi dialihkan semula ke kandungan yang dikawal penyerang. Ini bukan teori — pendedahan pelanggaran wujud untuk beberapa penyedia QR-as-a-service.
• Kegagalan DNS atau TLS di pihak penyedia. Jika domain pengalihan berhenti menyelesaikan atau sijil TLS tamat tempoh, setiap QR yang bergantung padanya gagal. Bukan pelaku berniat jahat — sekadar risiko operasi biasa yang tidak dikawal oleh pemilik QR.

Kod QR statik tidak mempunyai satu pun mod kegagalan ini kerana tiada pelayan pihak ketiga duduk di antara imbasan dan destinasi.

Cara menyemak jika anda mengimbas pengalihan

Gunakan pengimbas QR yang menunjukkan kandungan yang dinyahkod sebelum mengikutinya — pengimbas web kami melakukan ini. Imbas kod QR dan semak URL yang dinyahkod. Jika itu destinasi sebenar anda, QR adalah statik. Jika ia sesuatu seperti qrco.de/xyz atau domain pendek yang anda tidak kenali, itu adalah pengalihan — dan pihak ketiga duduk di tengah.

Alternatif

Jana kod QR yang mengekod destinasi anda secara langsung. Tiada pelayan pihak ketiga, tiada log pengalihan, tiada langganan. Lihat kod QR statik vs dinamik untuk perbandingan penuh dan kebenaran tentang penipuan kod QR untuk sebab model perantara menguasai industri.

Atau sekadar jana kod QR statik dan berhenti risau.