QR kódy se během pandemie rozjely víc než dříve a vstoupily v oblibu, především v souvislosti s placením či odkazy na více informací k opatřením, stažení aplikací, meníčka v restauracích a podobně.

V QR kódech vidí potenciál i Plzeňský Prazdroj, který by skrz aplikaci Querko chtěl přimět hosty objednávat a platit, aby docházelo k menší interakci s personálem – ne proto že by byl zbytečný, ale hlavně pro to, aby se snížil kontakt a možnost přenosu viru: Platba za stůl pomocí QR bude v českých hospodách pokovidový standard, slibuje Plzeňský Prazdroj – Živě.cz (zive.cz)

Jsme tak svědkem další transformace pracovních pozic, po samoobslužných pokladnách kdy se prodavačky mění z pípátek na asistentky prodeje, které by měly umět zákazníkovi poradit a pomoci mu (back to the roots), tak podobná změna nejspíše čeká číšníky. Ale zpět k tématu – QR kódy jsou pohodlné, ale jak to tak v kybernetické bezpečnosti bývá, co je pohodlné, bývá často nebezpečné. Co si o bezpečnosti QR kódů myslím se mě zeptal na Twitteru David Kudrna. A protože neumím odpovědět krátce, vznikl tento článek. 🙂

Nepanikařte

Na úvod bych zmínil, že není třeba panikařit a začít QR kódy strhávat, přesprejovávat nebo pálit jakožto nové digitální zlo. Jejich zneužití v masové míře zatím nebylo zdokumentováno, ale pár případů už se našlo a očekává se že jich bude více. Aktuálně jsme rádi, že učíme uživatel rozpoznat phishingové maily a weby, a podle mě je možná ještě brzo strašit běžné uživatele podvodnými QR kódy. Nicméně pro pokročilé uživatele, mezi než se drazí čtenáři jistě řadíte, tak pro ty je to dobré téma, ke kterému se jistě někdy vrátíme.

Co QR kódy umožňují

QR kód na Vašem mobilu umožňuje:

  • ‎Odhalení vaší polohy aplikaci – appka ví, v jaké restauraci jste.
  • ‎Připojení k sítě Wi-Fi – to může vést k přihlášení k nastrčenému hotspotu (evil AP), který by mohl zachytit vaši komunikaci, dostat se k podrobnostem o přístupu k účtu nebo modifikovat komunikaci (MitM útok).
  • ‎Odeslání informací o platbě nebo účtu – v případě podvodného QR kódu půjdou data útočníkovi‎.
  • ‎Přidání události do kalendáře – o spamu v kalendářích jsem psal zde: SPAMové kalendáře – Spajk.cz
  • ‎Přidání nového kontaktu – ten by potenciálně mohl zneužít chyby zabezpečení v softwaru adresáře‎.
  • Zahájení telefonního hovoru nebo rozepsání e-mailu – hovor na zpoplatněné číslo by Vás něco stál.

Takže nějaká rizika tu máme. QR kód je navíc poměrně snadné podvrhnout. V případě QR kódu na propagačních materiálech, jednorázových meníčkách a podobně stačí tiskárna nebo samolepka.

Horší to útočníci budou mít u stolů, kde je nalepen speciální gravírovaný štítek – ne že by to nešlo, ale útočníci mají rádi levná a snadná řešení, mezi něž odlupování a pak lepení na míru gravírovaného podvodného QR kód zrovna nepatří.

Nicméně takový nastrčený QR kód může obsahovat instrukce k otevření phishingové stránky, která může chtít přihlášení a tím může dojít ke zcizení Vaší identity, nebo Vás navede ke stažení podvodné appky, která může udělat totéž + může obsahovat malware. A ten může zejména na Androidu dělat téměř cokoliv (Ano, v závislosti na tom co mu při instalaci povolíte, ale kdo to čte, že?).

Ne vždy je ale potřeba přelepovat celý kód, někdy stačí jen zmodifikovat jeho části. A co je vtipné, tak díky oprávnění vytočit telefonní hovor můžete wipenout (vymazat) celý telefon – zkuste některým Samsungům podstrčit v QR kódu (a nebo i bez něj) vytočení čísla *2767*3855# a sledujte co se stane. 🙂

Stejně tak mohou být QR kódy použity ke zneužití zranitelností při prohlížení webu jako je XSS nebo command injection. Detaily o těchto typech útoků najdete zde: QR Code Security: A Survey of Attacks and Challenges for Usable Security (readkong.com)

Riziko navíc představují i samotné aplikace pro čtení QR kódů – nejednou byl malware přímo v nich: Aplikace pro skenování čárových kódů přinesla na miliony telefonů malware zobrazující reklamy – Živě.cz (zive.cz)

QR kódy tedy představují pro phishing podobný vektor jako e-maily a bude potřeba naučit uživatele, aby si na ně začali dávat pozor. Nedělám si ale iluze, že to bude snadné, bo bezpečnost mobilů se (nejen) u nás dost podceňuje. Což je právě nyní, kdy v mobilu spousta lidí kombinuje osobní i pracovní život, docela riziko.

Co s tím

Zkráceně – rozum a antivir. Delší verze – zkuste dodržet pár rad níže:

  1. Stejně jako u bankomatu kontrolujete, jestli na něm není nějaký podezřelý prvek (skimmer, snímací podložka), kontrolujte QR kódy, jestli nejsou přelepené apod.
  2. Stejně jako u mailů kontrolujete kam vede odkaz, kontrolujte, co otevírá QR kód.
  3. Po otevření se nepřihlašujte do stránek s divnou URL, bez HTTPS a podobně.
  4. Neinstalujte appky z „Neznámých zdrojů“!
  5. Bacha na oprávnění u appek z Play Store.
  6. Antivir v mobilu vidí i to, co lidské oko ne. Odhalí podvodné aktivity i falešné stránky. Používejte antivir i v mobilu, patří tam a ne že ne.
ESET Mobile Security Antivirus
ESET Mobile Security Antivirus
Developer: ESET
Price: Free
  • ESET Mobile Security Antivirus Screenshot
  • ESET Mobile Security Antivirus Screenshot
  • ESET Mobile Security Antivirus Screenshot
  • ESET Mobile Security Antivirus Screenshot
  • ESET Mobile Security Antivirus Screenshot
  • ESET Mobile Security Antivirus Screenshot
  • ESET Mobile Security Antivirus Screenshot
  • ESET Mobile Security Antivirus Screenshot
  • ESET Mobile Security Antivirus Screenshot
  • ESET Mobile Security Antivirus Screenshot
  • ESET Mobile Security Antivirus Screenshot
  • ESET Mobile Security Antivirus Screenshot
  • ESET Mobile Security Antivirus Screenshot
  • ESET Mobile Security Antivirus Screenshot
  • ESET Mobile Security Antivirus Screenshot
  • ESET Mobile Security Antivirus Screenshot
  • ESET Mobile Security Antivirus Screenshot
  • ESET Mobile Security Antivirus Screenshot
  • ESET Mobile Security Antivirus Screenshot
  • ESET Mobile Security Antivirus Screenshot
  • ESET Mobile Security Antivirus Screenshot
  • ESET Mobile Security Antivirus Screenshot
  • ESET Mobile Security Antivirus Screenshot
  • ESET Mobile Security Antivirus Screenshot