QR-koodid võivad tunduda kahjutud, kuid need on riskantsemad, kui arvate.
QR-koodid on populaarsed, kuna neid saab digiseadmetega kiiresti lugeda ja see muudab paljusid asju praktilisemaks. Saate QR-koodi skannides veebisaite sirvida, faile alla laadida ja isegi WiFi-võrkudega ühenduse luua.
Kuid kahjuks võib QR-koodide kasutamine kaasa tuua ka võimalikke turvaprobleeme.
Millised on QR-koodide ohud?
Keegi võib QR-koodide abil rünnata nii inimestega suhtlemist kui ka automatiseeritud süsteeme. Ettevaatusabinõude võtmiseks kaaluge mõnda näidet.
SQL-i süstimise rünnak
SQL Injection on ründevektor, mida häkkerid kasutavad andmebaasipõhiste rakenduste ründamiseks. Selle meetodi abil püüavad nad varastada andmebaasis olevaid andmeid.
Sellele QR-koodi vaatenurgast lähenemiseks kujutage ette stsenaariumi, kus QR-dekodeerimistarkvara loob ühenduse andmebaasiga ja kasutab päringu täitmiseks QR-koodi teavet. Samuti on olemas a SQL-i süstimise haavatavus. Sellise stsenaariumi korral võib QR-koodi lugeja teie päringut käivitada, kontrollimata, kas see pärineb autentitud allikast. Seega võib häkker varastada andmebaasis oleva teabe.
See pole nii karm ega keeruline, kui tundub. QR-koodi skannimisel kuvatakse QR-koodi lugejas link. URL-i parameetrite muutmisega on võimalik läbi viia ründeid, näiteks SQL-i süstimist. URL, kuhu QR-koodi skanner teid ümber suunab, võib loomulikult lubada teil sellist ründevektorit läbi viia.
Käsk süstimine
Käsu sisestamise meetodil saab ründaja sisestada HTML-koodi, mis muudab lehe sisu. Iga kord, kui kasutaja külastab muudetud lehte, tõlgendab veebibrauser koodi, mille tulemuseks on pahatahtlike käskude täitmine seadmes, kus kasutaja QR-koodi skannib. Teisisõnu, see on olukord, kus QR-koodi sisendit kasutatakse käsurea parameetrina.
Sellisel juhul võib ründaja olukorda lihtsalt ära kasutada, muutes QR-koodi ja käivitades masinas suvalisi käske. Ründaja saab seda meetodit kasutada juurkomplektide, nuhkvara ja DoS-rünnakute juurutamiseks, samuti kauge masinaga ühenduse loomiseks ja süsteemiressurssidele juurdepääsu saamiseks.
Sotsiaaltehnoloogia
Sotsiaalne manipuleerimine on inimeste manipuleerimise üldnimetus, et saada volitamata juurdepääs nende konfidentsiaalsele teabele. Häkkerid kasutavad seda meetodit teie teabe varastamiseks või süsteemi sissemurdmiseks. Andmepüük on üks taktikatest kõige sagedamini kasutatav.
Andmepüügiga on sihitud inimesed sunnitud klõpsama või külastama võltsitud veebisaite. QR-koodid on selle töö jaoks väga kasulikud, kuna kasutaja ei saa QR-koodi vaadates aru, millisele saidile ta minna.
Kujutage ette, et logite sisse saidile, mis näeb välja samasugune nagu Twitter ja millel on sarnane URL. Kui sisestate siia oma sisselogimisandmed, pidades seda segamini Twitteriks, võite oma konto häkkerile kaotada.
Kuidas vältida ohtlikke QR-koode
QR-koodidega häkkerite rünnakute vastu võetavate meetmete alguses on esikohal inimene, kes on turvaahela nõrgim lüli. Teisisõnu peaks kasutaja olema sotsiaalse manipuleerimise rünnakute suhtes ettevaatlikum ega tohiks skannida QR-koode, mille allikas on teadmata. Kuna inimesed ei oska QR-koode lugeda, võib olla raske teada, millist usaldada. Seetõttu peaksite kasutama turvalisi QR-koodi lugejaid.
Hoidke oma mobiilseadme operatsioonisüsteem ajakohasena ja kasutage QR-koodide turvaliseks lugemiseks rakendust. Paljude kaasaegsete mobiilseadmete kaameratesse on sisseehitatud QR-koodi lugeja. Kui aga mobiilseadmes on QR-koodi rakendus, mis võimaldab kasutajatel URL-i enne selle külastamist kontrollida, annab neile võimaluse kontrollida URL-i allikat, millele nad ligi pääsevad. See turvakontroll ei ole võimalik QR-koodide puhul, mis ei anna kaasasolevat teavet. Seetõttu peavad kõik QR-koodi lugeja rakendused kuvama kasutajale enne lingi avamist ja kinnituse küsimist dekodeeritud URL-i.
Uurige QR-koodi genereerivat tarkvara
Valideerimine QR-koodi generaator ja andmete terviklikkuse testimine on meede võimalike pettuste, SQL-i sisestamise ja käsusüstimise rünnakute vastu. Oluline on standardida ja integreerida digiallkirjad QR-koodiga autentimiseks ning kontrollida, kas QR-koodi on muudetud või mitte. Digitaalallkirjad muudavad QR-koodil põhinevad rünnakud märkimisväärselt keerukamaks, kuna nõuavad ründajalt kontrollsumma muutmist ja seega kontrolliprotsessi muutmist.
Te ei tohiks loota arvukatele QR-koodi generaatoritele, mida Internetist leiate. Pöörake tähelepanu nende generaatorite taga olevale tehnoloogiale ja ettevõttele.
Olge ettevaatlik ebaturvaliste URL-ide eest
Külastajate ümbersuunamine ebausaldusväärsetele URL-idele on üks populaarsemaid QR-koodi rünnakuid, mis võib viia andmepüügikatseteni ja pahatahtliku tarkvara (nt viirused, ussid ja troojalased) edastamiseni. Veebimaterjalide usaldusväärsuse tagamiseks selliste rünnakute eest on oluline kinnitada sisu legitiimsust, määrates kindlaks, kas QR-koodi lugeja programm suudab eristada võltsitud ja ehtsat URL-id.
Hoiduge käivitatavate koodide eest
Selleks, et QR-koodiga skannitud käivitatavad koodid või käsud ei pääseks skannimisseadme ressurssidele juurde, on vaja QR-koodi sisu isoleerida. Sisu isoleerimine võib aidata ära hoida ründeid, nagu privaatsusrikkumised, juurdepääs isiklikule teabele ja skannimisseadme kasutamine rünnakud nagu DDoS ja robotvõrgud. Lihtsaim meetod on blokeerida rakenduste, sh QR-koodi skannimise rakenduste juurdepääs skannimisseadme ressurssidele (nt kaamera, telefoniraamat, fotod, asukohateave jne).
Kasutage QR-koode, kuid ettevaatlikult
Tehnoloogia kiire laienemisega on QR-koodid muutunud meie igapäevaelu osaks. QR-koodidega seotud riske saad vähendada, kui kasutad neid targalt ja võtad meetmeid.
Olge Internetis või reaalses keskkonnas leitud QR-koodide skannimisel ettevaatlik. Kasutage mainekaid programme ja hoidke oma seadmeid kaitstuna ajakohase viirusetõrjetarkvaraga. Samuti on hea mõte mitte skannida kahtlaste või ebausaldusväärsete saitide QR-koode ega avaldada isiklikku teavet.
