Ugrabitev preusmeritve QR kode: Nevidni posrednik

Vsaka dinamična QR koda, ki ste jo kdaj skenirali, je vključila tretjo osebo, ki je nikoli niste izbrali. Med kamero telefona in ciljno spletno stranjo je preusmeritveni strežnik v lasti ponudnika QR tiho posredoval zahtevo. Večina uporabnikov nikoli ne opazi. V tem je bistvo.

Ta članek pojasnjuje, kako izgleda ugrabitev preusmeritve v praksi, kaj posrednik dejansko počne in kaj je na kocki.

Zaporedje preusmeritve

Ko skenirate statični QR za https://shop.example.com:

1. Kamera prebere QR kodo
2. OS jo prepozna kot URL
3. Brskalnik odpre https://shop.example.com

Trije koraki. Brez tretjih oseb.

Ko skenirate dinamični QR za isti cilj:

1. Kamera prebere QR kodo, ki kodira nekaj podobnega kot https://qr-provider.com/r/x7n2
2. OS odpre ta URL
3. qr-provider.com prejme zahtevo, jo zabeleži, poišče x7n2 v svoji bazi podatkov
4. qr-provider.com izda preusmeritev 301 ali 302 na https://shop.example.com
5. Brskalnik sledi preusmeritvi in pride do pravega cilja

Pet korakov. Dodatna oseba v koraku 3 — takšna, ki ji nikoli niste dali soglasja, je nikoli niste plačali in je ne morete videti.

Kaj dobi posrednik

Vsako posamezno skeniranje ustvari vnos strežniškega loga, ki vsebuje:

• Časovni žig skeniranja
• IP naslov bralnika
• Niz user-agent (naprava, OS, brskalnik)
• Glavo referrer (od kod je prišel bralnik, če velja)
• Glavo Accept-Language (jezikovne nastavitve)

Iz teh lahko ponudnik sklepa: približno geografsko lokacijo, tip naprave, različico operacijskega sistema in v skupini vzorce skeniranja skozi čas. To se strankam trži kot "analitika". Enako je tudi nadzor nad ljudmi, ki skenirajo vaše kode — ki nikoli niso privolili.

Kaj lahko posrednik stori

Spremeni cilj

Cilj preusmeritve živi v bazi podatkov ponudnika. Lastnik QR ga običajno lahko ureja prek nadzorne plošče. To se prodaja kot funkcija, in za nekatere primere uporabe je pristna. Vendar to pomeni, da QR koda ni več to, kar se zdi. Fizični predmet pravi "skenirajte za obisk naše strani". Dejansko vedenje je, kar danes pravi baza podatkov ponudnika.

Onemogoči preusmeritev

Če lastnikova naročnina poteče ali račun je zaprt ali so kršeni pogoji storitve ponudnika, se preusmeritev lahko odstrani. Vsaka natisnjena kopija QR kode takoj preneha delovati. Uporabniki skenirajo in vidijo splošno stran napake ali 404.

Vstavi vmesno stran

Nekateri ponudniki dinamične skeniranja QR usmerjajo skozi blagovno znamko vmesne strani pred končno preusmeritvijo — prikazujejo oglase, prosijo za soglasje, zbirajo e-poštne naslove. Lastnik QR se običajno ni prijavil za to. Dodano je pozneje, ko ponudnik bolj agresivno monetizira.

Prodaj ali izgubi podatke skeniranja

Logi skeniranja so dragoceni. Prodani so bili analitičnim posrednikom, uporabljeni za treniranje modelov ciljanja oglasov in — v vsaj nekaj dokumentiranih kršitvah — so ušli, ko so bili ponudniki ogroženi. Vaše stranke so skenirale meni; zdaj prstni odtis njihove naprave živi v naboru podatkov kršitev.

Zakaj uporabniki nikoli ne opazijo

Sodobni brskalniki samodejno sledijo preusmeritvam. Razen če imate odprta razvijalska orodja, vmesnega skoka ne vidite. Skeniranje se zdi takojšnje, ker je preusmeritev hitra (ko deluje). Z vidika uporabnika se dinamični QR vede enako kot statični.

Dokler preusmeritveni strežnik ne odpove. Takrat se izkušnja ostro razhaja — toda v tem trenutku je QR koda že natisnjena na tisoče površin.

Varnostne posledice

Preusmeritveni strežnik je ena sama točka odpovedi za vsako QR kodo, ki je odvisna od njega. Tri napadne površine, ki so vredne razmisleka:

• Prevzem računa. Če napadalec pridobi dostop do računa ponudnika lastnika QR, lahko vsako QR preusmeri na stran za lažno predstavljanje. Stranke skenirajo fizično kodo in pričakujejo restavracijski meni; pristanejo na klonu prijavne strani restavracije, ki žanje poverilnice.
• Ogrožanje ponudnika. Če je ponudnik QR sam kršen, je vsaka dinamična QR v obtoku potencialno preusmerjena na vsebino, ki jo nadzoruje napadalec. To ni teoretično — razkritja kršitev obstajajo za več ponudnikov QR-as-a-service.
• Odpoved DNS ali TLS pri ponudniku. Če se preusmeritvena domena preneha razreševati ali certifikat TLS poteče, vsak QR, ki je odvisen od nje, odpove. Ni zlonamernega akterja — le običajno operativno tveganje, ki ga lastnik QR ne nadzira.

Statične QR kode nimajo nobenega od teh načinov odpovedi, ker ni strežnika tretje osebe med skeniranjem in ciljem.

Kako preveriti, ali skenirate preusmeritev

Uporabite QR skener, ki prikaže dekodirano vsebino, preden ji sledi — naš spletni skener to počne. Skenirajte QR kodo in preglejte dekodirani URL. Če je to vaš dejanski cilj, je QR statičen. Če je nekaj podobnega qrco.de/xyz ali kratka domena, ki je ne prepoznate, je to preusmeritev — in tretja oseba sedi v sredini.

Alternativa

Ustvarite QR kode, ki neposredno kodirajo vaš cilj. Brez strežnikov tretjih oseb, brez logov preusmeritve, brez naročnine. Glej statične vs dinamične QR kode za celotno primerjavo in resnica o prevarah s QR kodami za to, zakaj model posrednika prevladuje v panogi.

Ali pa preprosto ustvarite statično QR kodo in nehajte skrbeti.