QR-koder kan se harmløse ud, men de er mere risikable, end du tror.
QR-koder er populære, fordi de hurtigt kan læses af digitale enheder og gør mange ting mere praktiske. Du kan gennemse websteder, downloade filer og endda oprette forbindelse til Wi-Fi-netværk ved at scanne en QR-kode.
Men desværre giver brugen af QR-koder også mulige sikkerhedsproblemer.
Hvad er farerne ved QR-koder?
Nogen kan bruge QR-koder til at angribe både menneskelig interaktion og automatiserede systemer. Overvej et par eksempler for at tage forholdsregler.
SQL-injektionsangreb
SQL Injection er en angrebsvektor, som hackere bruger til at angribe databasedrevne applikationer. Med denne metode sigter de mod at stjæle dataene i en database.
For at nærme dette fra et QR-kodeperspektiv, forestil dig et scenarie, hvor QR-dekodningssoftware forbinder til en database og bruger QR-kodeoplysninger til at udføre en forespørgsel. Desuden er der en SQL-injektionssårbarhed. I et sådant scenarie kan QR-kodelæseren køre din forespørgsel uden at verificere, om den kommer fra en godkendt kilde. Dermed kan hackeren stjæle oplysningerne i databasen.
Dette er hverken så hårdt eller så indviklet, som det ser ud til. Når du scanner en QR-kode, vises et link på QR-kodelæseren. Ved at ændre URL-parametre er det muligt at udføre angreb såsom SQL-injektion. Den URL, som QR-kodescanneren omdirigerer til, kan du selvfølgelig give dig mulighed for at udføre en sådan angrebsvektor.
Kommandoindsprøjtning
I kommandoindsprøjtningsmetoden kan en angriber injicere en HTML-kode, der ændrer indholdet på en side. Hver gang brugeren besøger den ændrede side, fortolker webbrowseren koden, hvilket resulterer i udførelse af ondsindede kommandoer på den enhed, hvor brugeren scanner QR-koden. Med andre ord er dette en situation, hvor input fra QR-koden bruges som en kommandolinjeparameter.
I et sådant tilfælde kan en angriber simpelthen drage fordel af situationen ved at ændre QR-koden og køre vilkårlige kommandoer på maskinen. En angriber kan bruge denne metode til at implementere rootkits, spyware og DoS-angreb, samt oprette forbindelse til en fjern maskine og få adgang til systemressourcer.
Social Engineering
Social engineering er det generelle navn for at manipulere folk til at få uautoriseret adgang til deres fortrolige oplysninger. Hackere bruger denne metode til at stjæle dine oplysninger eller bryde ind i et system. Phishing er en af taktikkerne mest almindeligt anvendte.
Med phishing er målrettede personer tvunget til at klikke eller besøge falske websteder. QR-koder er virkelig nyttige til dette job, fordi en bruger ikke kan forstå, hvilket websted de skal gå til ved at se på QR-koden.
Forestil dig at logge ind på et websted, der ligner et websted som Twitter og har en lignende URL. Hvis du indtaster dine loginoplysninger her og forveksler det med Twitter, kan du miste din konto til en hacker.
Sådan undgår du usikre QR-koder
I begyndelsen af de tiltag, der kan tages mod angrebene foretaget af hackere med QR-koder, kommer personen, som er det svageste led i sikkerhedskæden, først. Med andre ord bør en bruger være mere forsigtig med angreb fra social engineering og bør ikke scanne QR-koder, hvis kilde er ukendt. Da folk ikke kan læse QR-koder, kan det være svært at vide, hvem man kan stole på. Det er derfor, du bør bruge sikre QR-kodelæsere.
Hold operativsystemet på din mobilenhed opdateret, og brug en applikation til at læse QR-koder sikkert. Mange moderne mobile enheder kommer med en indbygget QR-kodelæser i deres kameraer. Men at have en QR-kodeapplikation på mobilenheden, der giver brugerne mulighed for at tjekke URL'en, før de besøger den, giver dem mulighed for at bekræfte kilden til den URL, de er ved at få adgang til. Dette sikkerhedstjek er ikke muligt for QR-koder, der ikke giver nogen medfølgende information. Derfor skal alle QR-kodelæser-apps vise den afkodede URL til brugeren, før de åbner linket og beder om deres bekræftelse.
Undersøg QR-kodegenereringssoftware
Validering af generator af en QR-kode og testning af dataintegritet vil tjene som en foranstaltning mod mulig bedrageri, SQL-injektion og kommandoinjektionsangreb. Det er vigtigt at standardisere og integrere digitale signaturer til QR-kode-autentificering og at verificere, om QR-koden er blevet ændret eller ej. Digitale signaturer komplicerer QR-kodebaserede angreb markant, da de kræver, at angriberen ændrer kontrolsummen og dermed ændrer verifikationsprocessen.
Du bør ikke stole på de mange QR-kodegeneratorer, du kan finde på internettet. Vær opmærksom på teknologien og virksomheden bag disse generatorer.
Pas på usikre webadresser
At omdirigere besøgende til URL'er, der ikke er tillid til, er et af de mest populære QR-kodeangreb, som kan føre til phishing-forsøg og overførsel af ondsindet software såsom virus, orme og trojanske heste. For at sikre troværdigheden af onlinemateriale mod sådanne overgreb er det afgørende at validere indholdets legitimitet ved at afgøre, om QR-kodelæserprogrammet kan skelne mellem falsk og ægte URL'er.
Pas på eksekverbare koder
For at forhindre eksekverbare koder eller kommandoer scannet af en QR-kode i at få adgang til scanningsenhedens ressourcer, er det nødvendigt at isolere indholdet af QR-koden. At isolere indholdet kan hjælpe med at forhindre angreb såsom brud på privatlivets fred, adgang til personlige oplysninger og brug af scanningsenheden til angreb som DDoS og Botnets. Den enkleste metode er at blokere adgangen til applikationer, inklusive QR-kode-scanningsapps, til scanningsenhedens ressourcer (såsom et kamera, telefonbog, fotos, placeringsoplysninger osv.).
Brug QR-koder, men forsigtigt
Med den hurtige udvidelse af teknologien er QR-koder blevet en del af vores hverdag. Du kan reducere risiciene forbundet med QR-koder ved at bruge dem fornuftigt og træffe foranstaltninger.
Udvis forsigtighed, mens du scanner QR-koder, du støder på på internettet eller i virkelige omgivelser. Brug velrenommerede programmer, og hold dine enheder beskyttet med opdateret antivirussoftware. Det er også en god idé ikke at scanne QR-koder fra mistænkelige eller utroværdige websteder og ikke at udlevere personlige oplysninger.