Únos presmerovania QR kódu: Neviditeľný sprostredkovateľ

Každý dynamický QR kód, ktorý ste kedy naskenovali, zahŕňal tretiu stranu, ktorú ste nikdy nevybrali. Medzi kamerou telefónu a cieľovou webstránkou ticho presmeroval požiadavku presmerovací server vlastnený poskytovateľom QR. Väčšina používateľov si to nikdy nevšimne. O to ide.

Tento článok vysvetľuje, ako únos presmerovania vyzerá v praxi, čo sprostredkovateľ naozaj robí a čo je v stávke.

Postupnosť presmerovania

Keď skenujete statický QR pre https://shop.example.com:

1. Kamera načíta QR kód
2. OS ho rozpozná ako URL
3. Prehliadač otvorí https://shop.example.com

Tri kroky. Žiadne tretie strany.

Keď skenujete dynamický QR pre ten istý cieľ:

1. Kamera načíta QR kód, ktorý kóduje niečo ako https://qr-provider.com/r/x7n2
2. OS otvorí túto URL
3. qr-provider.com prijme požiadavku, zaloguje ju, hľadá x7n2 vo svojej databáze
4. qr-provider.com vydá 301 alebo 302 presmerovanie na https://shop.example.com
5. Prehliadač nasleduje presmerovanie a príde na skutočný cieľ

Päť krokov. Ďalšia strana v kroku 3 — taká, ktorej ste nikdy nedali súhlas, ktorú ste nikdy neplatili a nevidíte.

Čo získava sprostredkovateľ

Každé jednotlivé skenovanie vytvára záznam v logu servera obsahujúci:

• Časovú pečiatku skenovania
• IP adresu čítačky
• Reťazec user-agent (zariadenie, OS, prehliadač)
• Hlavičku referrer (odkiaľ prišla čítačka, ak je relevantné)
• Hlavičku Accept-Language (jazyková preferencia)

Z týchto môže poskytovateľ odvodiť: približnú geografickú polohu, typ zariadenia, verziu operačného systému a súhrnne vzorce skenovania v čase. Toto sa marketuje zákazníkom ako „analytika". Je to tiež v rovnakej miere sledovanie ľudí, ktorí skenujú vaše kódy — ktorí nikdy nedali súhlas.

Čo môže sprostredkovateľ robiť

Zmeniť cieľ

Cieľ presmerovania žije v databáze poskytovateľa. Vlastník QR ho zvyčajne môže upravovať cez dashboard. Toto sa predáva ako funkcia a pre niektoré prípady použitia je to skutočné. Ale znamená to, že QR kód už nie je tým, čím sa zdá. Fyzický artefakt hovorí „naskenujte pre návštevu našej stránky". Skutočné správanie je to, čo dnes hovorí databáza poskytovateľa.

Deaktivovať presmerovanie

Ak predplatné vlastníka vyprší alebo sa účet zatvorí alebo sa porušia ToS poskytovateľa, presmerovanie možno odstrániť. Každá vytlačená kópia QR kódu okamžite prestane fungovať. Používatelia skenujú a vidia všeobecnú chybovú stránku alebo 404.

Vložiť medzistránku

Niektorí poskytovatelia smerujú dynamické QR skenovania cez značkovú medzistránku pred konečným presmerovaním — zobrazujú reklamy, žiadajú o súhlas, zbierajú emailové adresy. Vlastník QR sa na to zvyčajne neprihlásil. Pridáva sa neskôr, keď poskytovateľ monetizuje agresívnejšie.

Predať alebo stratiť dáta o skenovaní

Logy skenovania sú cenné. Boli predané analytickým brokerom, použité na tréning modelov cielenia reklám a — v aspoň niekoľkých zdokumentovaných narušeniach — uniknuté, keď boli poskytovatelia kompromitovaní. Vaši zákazníci naskenovali menu; teraz odtlačok ich zariadenia žije v úniku dát.

Prečo si používatelia nikdy nevšimnú

Moderné prehliadače automaticky sledujú presmerovania. Pokiaľ nemáte otvorené vývojárske nástroje, medziskok nevidíte. Skenovanie vyzerá okamžite, lebo presmerovanie je rýchle (keď funguje). Z pohľadu používateľa sa dynamický QR správa identicky ako statický.

Kým presmerovací server zlyhá. Potom sa zážitok ostro rozchádza — ale v tom momente je QR kód už vytlačený na tisícke povrchov.

Bezpečnostné dôsledky

Presmerovací server je jediný bod zlyhania pre každý QR kód, ktorý od neho závisí. Tri útočné plochy hodné zváženia:

• Prevzatie účtu. Ak útočník získa prístup k účtu poskytovateľa vlastníka QR, môže presmerovať každý QR na phishingovú stránku. Zákazníci skenujú fyzický kód očakávajúc reštauračné menu; dostávajú sa na klon prihlasovacej stránky reštaurácie, ktorý zbiera poverenia.
• Kompromitácia poskytovateľa. Ak je samotný poskytovateľ QR prelomený, každý dynamický QR v obehu je potenciálne presmerovaný na útočníkom riadený obsah. Toto nie je teoretické — zverejnenia narušení existujú pre viacerých poskytovateľov QR-as-a-service.
• Zlyhanie DNS alebo TLS u poskytovateľa. Ak doména presmerovania prestane resolvovať alebo TLS certifikát vyprší, každý QR závislý od neho zlyhá. Žiadny zlomyseľný aktér — len obyčajné operačné riziko, ktoré vlastník QR nekontroluje.

Statické QR kódy nemajú žiadny z týchto režimov zlyhania, pretože medzi skenovaním a cieľom nie je server tretej strany.

Ako skontrolovať, či skenujete presmerovanie

Použite QR čítačku, ktorá pred nasledovaním zobrazí dekódovaný obsah — naša webová čítačka to robí. Naskenujte QR kód a preskúmajte dekódovanú URL. Ak je to váš skutočný cieľ, QR je statický. Ak je to niečo ako qrco.de/xyz alebo krátka doména, ktorú nepoznáte, je to presmerovanie — a tretia strana sedí v strede.

Alternatíva

Vygenerujte QR kódy, ktoré kódujú váš cieľ priamo. Žiadne servery tretích strán, žiadne logy presmerovania, žiadne predplatné. Pozri statické vs dynamické QR kódy pre úplné porovnanie a pravda o podvodoch s QR kódmi pre to, prečo model sprostredkovateľa dominuje odvetviu.

Alebo jednoducho vygenerujte statický QR kód a prestaňte sa trápiť.