Przejęcie przekierowań QR: niewidzialny pośrednik

W każdym dynamicznym QR-ze, jaki kiedykolwiek zeskanowałeś, brała udział strona trzecia, której nigdy nie wybrałeś. Między kamerą telefonu a docelową stroną serwer przekierowań należący do dostawcy QR po cichu przekazał żądanie. Większość użytkowników nigdy tego nie zauważa. W tym właśnie sedno.

Ten artykuł pokazuje, jak przejęcie przekierowań wygląda w praktyce, co pośrednik faktycznie robi i co jest stawką.

Sekwencja przekierowania

Skanując statyczny QR do https://shop.example.com:

1. Kamera czyta QR
2. System operacyjny rozpoznaje go jako URL
3. Przeglądarka otwiera https://shop.example.com

Trzy kroki. Bez stron trzecich.

Skanując dynamiczny QR do tego samego celu:

1. Kamera czyta QR kodujący coś w stylu https://qr-provider.com/r/x7n2
2. System otwiera ten URL
3. qr-provider.com odbiera żądanie, loguje je, wyszukuje x7n2 w swojej bazie
4. qr-provider.com wystawia przekierowanie 301 lub 302 do https://shop.example.com
5. Przeglądarka idzie za przekierowaniem i trafia na prawdziwe miejsce docelowe

Pięć kroków. Dodatkowa strona w kroku 3 — taka, na którą się nigdy nie zgodziłeś, której nigdy nie zapłaciłeś i której nie widzisz.

Co dostaje pośrednik

Każde skanowanie produkuje wpis w logu serwera zawierający:

• Znacznik czasu skanowania
• Adres IP skanującego
• Ciąg user-agent (urządzenie, OS, przeglądarka)
• Nagłówek Referrer (skąd przyszedł skaner, jeśli dotyczy)
• Nagłówek Accept-Language (preferencje językowe)

Na tej podstawie dostawca wnioskuje: przybliżoną lokalizację, typ urządzenia, wersję systemu operacyjnego, a zbiorczo — wzorce skanowań w czasie. Klientom sprzedaje się to jako „analitykę". To równocześnie inwigilacja osób skanujących twoje kody — które nigdy się na to nie zgodziły.

Co pośrednik może zrobić

Zmienić miejsce docelowe

Cel przekierowania żyje w bazie dostawcy. Właściciel QR zwykle może go edytować z panelu. Jest to sprzedawane jako funkcja i dla niektórych zastosowań rzeczywiście nią jest. Ale to oznacza, że QR nie jest już tym, czym się wydaje. Fizyczny artefakt mówi „zeskanuj, żeby odwiedzić naszą stronę". Rzeczywiste zachowanie to to, co dziś mówi baza dostawcy.

Wyłączyć przekierowanie

Gdy subskrypcja właściciela wygaśnie, konto zostanie zamknięte albo naruszony zostanie regulamin, przekierowanie można usunąć. Każdy wydrukowany egzemplarz QR natychmiast przestaje działać. Skanujący widzą generyczną stronę błędu albo 404.

Wstawić stronę pośrednią

Niektórzy dostawcy przepuszczają skany dynamicznych QR przez brandowaną stronę pośrednią przed końcowym przekierowaniem — pokazują reklamy, żądają zgód, zbierają e-maile. Właściciel QR zwykle się na to nie pisał. Dokłada się to później, wraz z agresywniejszą monetyzacją.

Sprzedać albo utracić dane skanów

Logi skanów są cenne. Były sprzedawane brokerom analitycznym, wykorzystywane do trenowania modeli targetowania reklam, a w co najmniej kilku udokumentowanych incydentach wyciekły, gdy dostawcy zostali przejęci. Twoi klienci zeskanowali menu; teraz odcisk palca ich urządzenia żyje w zbiorze wyciekowym.

Dlaczego użytkownicy nigdy nie zauważają

Nowoczesne przeglądarki automatycznie podążają za przekierowaniami. Bez otwartych narzędzi deweloperskich nie widzisz pośredniego skoku. Skan wydaje się natychmiastowy, bo przekierowanie jest szybkie (gdy działa). Z punktu widzenia użytkownika dynamiczny QR zachowuje się identycznie jak statyczny.

Do momentu, gdy serwer przekierowań padnie. Wtedy doświadczenie rozjeżdża się gwałtownie — ale w tym momencie QR jest już nadrukowany na tysiącu powierzchni.

Implikacje dla bezpieczeństwa

Serwer przekierowań to pojedynczy punkt awarii dla każdego QR-a, który od niego zależy. Trzy powierzchnie ataku warte uwagi:

• Przejęcie konta. Jeśli atakujący zdobędzie dostęp do konta właściciela u dostawcy, może przekierować każdy QR na stronę phishingową. Klienci skanują fizyczny kod oczekując menu restauracji; lądują na klonie strony logowania zbierającym dane uwierzytelniające.
• Kompromitacja dostawcy. Jeśli naruszeniu ulegnie sam dostawca QR, każdy dynamiczny QR w obiegu potencjalnie zostaje skierowany na treści kontrolowane przez atakującego. To nie teoria — istnieją udokumentowane ujawnienia naruszeń u kilku dostawców QR-as-a-service.
• Awaria DNS lub TLS u dostawcy. Jeśli domena przekierowująca przestanie się rozwiązywać albo wygaśnie certyfikat TLS, każdy zależny QR zawodzi. Żadnego złośliwego aktora — zwykłe ryzyko operacyjne, na które właściciel QR nie ma wpływu.

Statyczne QR-y nie mają żadnego z tych trybów awarii, bo między skanem a celem nie ma serwera trzeciej strony.

Jak sprawdzić, czy skanujesz przekierowanie

Użyj skanera, który pokazuje zdekodowaną treść zanim ją otworzy — nasz skaner WWW tak robi. Zeskanuj QR i sprawdź odkodowany URL. Jeśli to twój prawdziwy cel — QR jest statyczny. Jeśli to coś w rodzaju qrco.de/xyz albo krótka domena, której nie rozpoznajesz — to przekierowanie, a pośrodku siedzi strona trzecia.

Alternatywa

Generuj QR-y kodujące cel bezpośrednio. Bez serwerów trzecich stron, bez logów przekierowań, bez subskrypcji. Pełne porównanie w Statyczne vs dynamiczne QR, a dlaczego model pośrednika dominuje w branży — w Prawdzie o oszustwach z QR.

Albo po prostu wygeneruj statyczny QR i przestań się martwić.