QR kodlarda yönlendirme korsanlığı: görünmez aracı
QR'niz çalışırken aracı görünmezdir. Bozulduğunda çok geçtir. Yönlendirme modelini anlamak, ondan kaçınmanın ilk adımıdır.
Bugüne dek taradığınız her dinamik QR kodun içinde, sizin hiç seçmediğiniz bir üçüncü taraf vardı. Telefon kamerası ile hedef site arasında, QR sağlayıcısına ait bir yönlendirme sunucusu isteği sessizce iletti. Kullanıcıların çoğu bunu hiç fark etmez. Asıl mesele de bu zaten.
Bu yazı yönlendirme korsanlığının pratikte nasıl göründüğünü, aracının gerçekte ne yaptığını ve neyin risk altında olduğunu anlatıyor.
Yönlendirme dizisi
https://shop.example.com için statik bir QR'ı taradığınızda:
- Kamera QR'ı okur
- İşletim sistemi onu URL olarak tanır
- Tarayıcı
https://shop.example.com'u açar
Üç adım. Üçüncü taraf yok.
Aynı hedefin dinamik QR'ını taradığınızda:
- Kamera QR'ı okur,
https://qr-provider.com/r/x7n2gibi bir şeyi kodlar - İşletim sistemi o URL'yi açar
- qr-provider.com isteği alır, kaydeder, veritabanında
x7n2'yi arar - qr-provider.com
https://shop.example.com'a 301 ya da 302 yönlendirmesi verir - Tarayıcı yönlendirmeyi izler ve gerçek hedefe varır
Beş adım. 3. adımda fazladan bir taraf — hiç kabul etmediğiniz, hiç ödemediğiniz, göremediğiniz biri.
Aracının aldıkları
Her tarama aşağıdakileri içeren bir sunucu kaydı oluşturur:
- Tarama zaman damgası
- Tarayıcının IP adresi
- user-agent dizisi (cihaz, OS, tarayıcı)
- Referrer başlığı (tarayıcı nereden geldi, mümkünse)
- Accept-Language başlığı (dil tercihi)
Buradan sağlayıcı şunları çıkarır: yaklaşık coğrafi konum, cihaz türü, işletim sistemi sürümü ve toplu halde zaman içindeki tarama örüntüleri. Müşterilere bu "analitik" olarak pazarlanır. Aynı zamanda, kodlarınızı tarayan insanların — hiç rızası alınmamış — gözetlenmesidir.
Aracının yapabildikleri
Hedefi değiştirmek
Yönlendirme hedefi sağlayıcının veritabanında yaşar. QR sahibi genellikle bir panelden düzenleyebilir. Özellik olarak satılır, bazı durumlarda gerçekten öyledir. Ama bu QR'nin artık göründüğü şey olmadığı anlamına gelir. Fiziksel eser "sitemizi ziyaret etmek için tarayın" der. Gerçek davranış ise sağlayıcının bugünkü veritabanının söylediğidir.
Yönlendirmeyi devre dışı bırakmak
Sahibin aboneliği bitmişse, hesabı kapatılmışsa ya da kullanım koşulları ihlal edilmişse yönlendirme kaldırılabilir. QR'ın basılı her kopyası derhal çalışmayı keser. Tarayanlar ya genel bir hata sayfası ya da 404 görür.
Araya bir sayfa sokuşturmak
Bazı sağlayıcılar, nihai yönlendirmeden önce dinamik QR taramalarını kendi markalı bir ara sayfadan geçirir — reklam gösterir, onay ister, e-posta toplar. QR sahibi genellikle buna onay vermemiştir. Sağlayıcı daha agresif para kazanmaya başladıkça sonradan eklenir.
Tarama verilerini satmak ya da sızdırmak
Tarama kayıtları değerlidir. Analitik brokerlerine satılmış, reklam hedefleme modelleri eğitmek için kullanılmış ve — belgelenmiş birkaç ihlalde — sağlayıcılar ele geçirildiğinde sızdırılmıştır. Müşterileriniz bir menü taradı; şimdi cihaz parmak izleri sızıntı veri setinde yaşıyor.
Kullanıcılar neden hiç fark etmez
Modern tarayıcılar yönlendirmeleri otomatik izler. Geliştirici araçları açık değilse aradaki sıçramayı göremezsiniz. Tarama, yönlendirme hızlı olduğu için (çalıştığında) anlık hissedilir. Kullanıcı gözünden dinamik QR, statik QR ile birebir aynı davranır.
Yönlendirme sunucusu çökene dek. Bundan sonra deneyim keskince ayrışır — ama o noktada QR zaten bin yüzeye basılmıştır.
Güvenlik çıkarımları
Yönlendirme sunucusu, ona bağımlı her QR için tek arıza noktasıdır. Değerlendirmeye değer üç saldırı yüzeyi:
- Hesap ele geçirme. Saldırgan, sahibin sağlayıcıdaki hesabına erişim kazanırsa her QR'ı bir kimlik avı sayfasına yönlendirebilir. Müşteriler restoran menüsünü bekleyerek fiziksel kodu tarar; kimlik hırsızı bir giriş klonuna düşerler.
- Sağlayıcı ihlali. QR sağlayıcısının kendisi hacklenirse dolaşımdaki her dinamik QR saldırganın kontrolündeki içeriğe yönlendirilebilir. Bu teorik değil — birden çok QR-as-a-service sağlayıcısında belgelenmiş ihlal açıklamaları mevcut.
- Sağlayıcıda DNS veya TLS arızası. Yönlendirme alanı çözülmemeye başlarsa veya TLS sertifikası süresi dolarsa ona bağlı her QR arızalanır. Kötü niyetli bir aktör yok — QR sahibinin kontrol edemediği sıradan operasyonel risk.
Statik QR kodların bu arıza biçimlerinin hiçbiri yoktur, çünkü tarama ile hedef arasında üçüncü taraf bir sunucu bulunmaz.
Bir yönlendirme mi tarıyorsunuz? Nasıl kontrol edersiniz
Çözülen içeriği takip etmeden önce gösteren bir tarayıcı kullanın — web tarayıcımız bunu yapar. QR'ı tarayın ve çözülen URL'ye bakın. Gerçek hedefinizse QR statiktir. qrco.de/xyz gibi tanımadığınız kısa bir alansa yönlendirmedir — ortada oturan bir üçüncü taraf var demektir.
Alternatif
Hedefi doğrudan kodlayan QR'lar üretin. Üçüncü taraf sunucu yok, yönlendirme kaydı yok, abonelik yok. Tam karşılaştırma Statik ve dinamik QR kodlar'da; aracı modelinin sektöre neden hâkim olduğunu ise QR kod dolandırıcılığının gerçeği'nde görebilirsiniz.
Ya da basitçe statik bir QR üretin ve endişelenmeyi bırakın.
Statik bir QR koduna hazır mısınız?
Tarayıcınızda üretin — hesap yok, takip yok, abonelik yok. Yarattığınız size aittir.
İlgili okumalar
QR kod dolandırıcılığının gerçeği: "ücretsiz" üreticiler kullanıcılardan nasıl haraç alıyor
Dinamik QR kodlar, sağlayıcılara siz bastıktan sonra kodları takip etme, düzenleme, devre dışı bırakma ve paraya çevirme imkânı verir. Düzen nasıl işliyor ve ondan nasıl kaçınılır.
Statik ve dinamik QR kodlar: her kullanıcının bilmesi gerekenler
Biri içeriğinizi, diğeri bir yönlendirmeyi kodlar. Bu tek fark, QR'inizin beş yıl sonra hâlâ çalışıp çalışmayacağını belirler.
QR abonelik tuzağı: sağlayıcılar linklerinizi nasıl rehin alıyor
Yem: ücretsiz bir QR kod. Kanca: yalnızca siz ödediğiniz sürece çalışır. Tuzak, on bin kopya bastığınız gün kapanır.
QR üreticinizin bir tuzak olduğuna dair 5 kırmızı bayrak
Dürüst QR araçlarını, daha sonra size kira çıkaracak veya kodlarınızı kapatacak dinamik-varsayılan üreticilerden ayıran beş sinyal.