Nebezpečné QR kódy

QR kód, který mezi uživateli smartphonů nabývá stále více na popularitě, může být zneužit k šíření škodlivého kódu a nejen to.

Nejprve si ale povězme, co je ten QR kód vlastně zač a k čemu slouží. Vězte, že QR kód, plným názvem Quick Response code, je 2D kód vyvinutý společností Denso Wave, který má oproti klasickým čárovým kódům hned několik podstatných výhod.

Výhody QR kódu

Předně takový QR kód může nést mnohem více informací, a to až 4296 alfanumerických znaků nebo 7089 číslic. Dále Informace v něm uložená může být díky opravnému kódu zobrazena i v případě, že je QR kód zašpiněn nebo jinak poškozen, což je obzvlášť užitečné, pokud je umístěn na místech, kde je vystaven nepřízni počasí a dalším vlivům, které mohou zhoršit jeho čitelnost. A konečně, jeho sejmutí a dekódování proběhne velice rychle, bez ohledu na to pod jakým úhlem byl sejmut, neboť čtečka QR kódů (QR code reader) se orientuje podle čtverců umístěných v jeho rozích.

Verze QR kódu

Celkem je definováno 40 verzí QR kódů, přičemž nejmenší má velikost 21×21 modulů a největší 177×177 modulů. Modulem se v tom případě rozumí čtverec o rozměrech 4×4, 5×5 nebo 6×6 bodů. Čím větší modul je, tím rychlejší je jeho načtení a také šance, že bude spolehlivě načten i v případě poškození. Opravný kód (Error Correction Code, zkr. ECC), který se v rámci QR kódu používá, se nazývá Reed-Solomon. Rozlišují se 4 úrovně L, M, Q, H, přičemž čím klademe větší důraz na možnost správného rozpoznání QR kódu v případě jeho poškození, tím méně prostoru nám pak zbývá na vlastní informace. Úroveň L je vhodná pro prostředí, kde nehrozí poškození nebo znečištění, H zase naopak tam, kde ano.

Využití QR kódu

QR kódy můžete najít na plakátech, billboardech, v tištěných mediích, na webu, ale i na nejrůznějších výrobcích. Nejčastěji se QR kódy používají k zakódování adresy webu, na kterém se nachází popis produktu nebo služby, a kterou by uživatel musel jinak do svého smartphonu ručně přepsat. Obrovský přínos QR kódu tedy spočívá v tom, že uživateli stačí jen aktivovat čtečku QR kódu, zamířit kamerou na QR kód, stisknout tlačítko, QR čtečka oskenuje kód a dekóduje informaci, která je v QR kódu uložena. QR kód ale nemusí obsahovat jen URL, ale jakýkoliv text a ten může být třeba i zašifrovaný. To, jak bude s informací uloženou v QR kódu nakonec naloženo, záleží jen na použité QR čtečce. Mimochodem, jakou čtečku QR kódů používáte?

Rizika QR kódu

Uživatel do poslední chvíle neví, jakou informaci QR kód nese a co s ní čtečka po dekódování provede. Jsou čtečky, které např. uživatele ihned po dekódování QR kódu přesměrují na URL, které je v QR kódu zakódováno. Uživatel smartphonu tak může být snadno přesměrován na stránku se škodlivým obsahem. Dokonce se pro tento typ útoku začal používat i vlastní termín, tzv. Attaging. Možná si teď říkáte, že je totéž, jako když uživatel ručně přepíše adresu webu  do svého smartphonu.

Ano, jenže právě skutečnost, že na QR kód stačí jen namířit a není nutné nic přepisovat, se zvyšuje pravděpodobnost, že spousta uživatelů smartphonů závadný QR kód oskenuje a obětí tak bude podstatně více. Kdyby totiž bylo místo QR kódu uvedeno jen klasické URL, tak by se ho většina uživatelů do svého smartphonu nejspíš nenamáhala ručně přepisovat a danou informaci by si raději našla na webu. Můžete namítnout, že vaše čtečka QR kódů vám URL nejprve zobrazí a teprve po vašem potvrzení vás přesměruje na danou adresu. Jistě, ale pokud bude použito zkrácené URL, tak vám jeho zobrazení moc nepomůže.

Útočník může svůj QR kód umístit v podstatě kamkoliv, na billboard nebo web, na kterém se nachází reklama na nějaký důvěryhodný produkt nebo službu a nikdo nemusí pojmout ani žádné podezření. Uživatel smartphonu totiž neví, zda na billboardu, plakátu, nebo webové stránce předtím nějaký QR kód vůbec byl, anebo zda nebyl původní QR kód nahrazen QR kódem útočníka.

A nemusí si toho všimnout ani zadavatel reklamy nebo provozovatel daného webu, protože rozeznat prostým okem od sebe jednotlivé QR kódy není snadné, neboť všechny vypadají více méně stejně. Možností zneužití QR kódů je spousta. Např. v jakémkoliv médiu se může snadno objevit kód, který bude uživatele přesměrovávat na web konkurence. Věřím, že na další možné způsoby zneužití přijdete sami a nebudete váhat před nimi ostatní čtenáře varovat v diskusi pod článkem.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:

  1. Harry

    Barcode scanner

  2. Roman Trojan

    Ahoj, díky za zajímavé shrnutí, použil jsem výňatky do seminárky. Krom toho blogu http://www.qr-kody.cz/ v čr žádné kloudné info není.
    Díky Romo


K článku “Nebezpečné QR kódy” se zde nachází 2 komentáře.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: