Οι κωδικοί QR μπορεί να φαίνονται αβλαβείς, αλλά είναι πιο επικίνδυνοι από όσο νομίζετε.

Οι κωδικοί QR είναι δημοφιλείς επειδή μπορούν να διαβαστούν γρήγορα από ψηφιακές συσκευές και κάνουν πολλά πράγματα πιο πρακτικά. Μπορείτε να περιηγηθείτε σε ιστότοπους, να κατεβάσετε αρχεία, ακόμη και να συνδεθείτε σε δίκτυα Wi-Fi σαρώνοντας έναν κωδικό QR.

Όμως, δυστυχώς, η χρήση κωδικών QR παρουσιάζει επίσης πιθανά προβλήματα ασφαλείας.

Ποιοι είναι οι κίνδυνοι των κωδικών QR;

Κάποιος μπορεί να χρησιμοποιήσει κωδικούς QR για να επιτεθεί τόσο στην ανθρώπινη αλληλεπίδραση όσο και σε αυτοματοποιημένα συστήματα. Για να λάβετε προφυλάξεις, εξετάστε μερικά παραδείγματα.

SQL Injection Attack

Το SQL Injection είναι ένας φορέας επίθεσης που χρησιμοποιούν οι χάκερ για να επιτεθούν σε εφαρμογές που βασίζονται στη βάση δεδομένων. Με αυτή τη μέθοδο, στοχεύουν να κλέψουν τα δεδομένα σε μια βάση δεδομένων.

Για να το προσεγγίσετε από την οπτική γωνία του κώδικα QR, φανταστείτε ένα σενάριο όπου το λογισμικό αποκωδικοποίησης QR συνδέεται σε μια βάση δεδομένων και χρησιμοποιεί πληροφορίες κώδικα QR για να εκτελέσει ένα ερώτημα. Επίσης, υπάρχει ένα

instagram viewer
Ευπάθεια SQL injection. Σε ένα τέτοιο σενάριο, ο αναγνώστης κώδικα QR μπορεί να εκτελέσει το ερώτημά σας χωρίς να επαληθεύσει εάν προέρχεται από μια πιστοποιημένη πηγή. Έτσι, ο χάκερ μπορεί να κλέψει τις πληροφορίες στη βάση δεδομένων.

Αυτό δεν είναι ούτε τόσο σκληρό ούτε τόσο περίπλοκο όσο φαίνεται. Όταν σαρώνετε έναν κωδικό QR, εμφανίζεται ένας σύνδεσμος στο πρόγραμμα ανάγνωσης κωδικών QR. Τροποποιώντας τις παραμέτρους URL, είναι δυνατή η πραγματοποίηση επιθέσεων όπως η ένεση SQL. Η διεύθυνση URL στην οποία σας ανακατευθύνει ο σαρωτής κώδικα QR μπορεί, φυσικά, να σας επιτρέψει να πραγματοποιήσετε ένα τέτοιο διάνυσμα επίθεσης.

Έγχυση εντολών

Στη μέθοδο ένεσης εντολών, ένας εισβολέας μπορεί να εισάγει έναν κώδικα HTML που τροποποιεί το περιεχόμενο μιας σελίδας. Κάθε φορά που ο χρήστης επισκέπτεται την τροποποιημένη σελίδα, το πρόγραμμα περιήγησης Ιστού ερμηνεύει τον κώδικα, με αποτέλεσμα την εκτέλεση κακόβουλων εντολών στη συσκευή όπου ο χρήστης σαρώνει τον κώδικα QR. Με άλλα λόγια, πρόκειται για μια κατάσταση όπου η είσοδος από τον κώδικα QR χρησιμοποιείται ως παράμετρος γραμμής εντολών.

Σε μια τέτοια περίπτωση, ένας εισβολέας μπορεί απλώς να εκμεταλλευτεί την κατάσταση αλλάζοντας τον κωδικό QR και εκτελώντας αυθαίρετες εντολές στο μηχάνημα. Ένας εισβολέας μπορεί να χρησιμοποιήσει αυτήν τη μέθοδο για να αναπτύξει επιθέσεις rootkit, spyware και DoS, καθώς και να συνδεθεί σε ένα απομακρυσμένο μηχάνημα και να αποκτήσει πρόσβαση στους πόρους του συστήματος.

Κοινωνική μηχανική

Η κοινωνική μηχανική είναι η γενική ονομασία για τη χειραγώγηση των ανθρώπων για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στις εμπιστευτικές τους πληροφορίες. Οι χάκερ χρησιμοποιούν αυτή τη μέθοδο για να κλέψουν τις πληροφορίες σας ή να εισβάλουν σε ένα σύστημα. Το phishing είναι μία από τις τακτικές που χρησιμοποιείται πιο συχνά.

Με το phishing, οι στοχευμένοι άνθρωποι αναγκάζονται να κάνουν κλικ ή να επισκέπτονται ψεύτικους ιστότοπους. Οι κωδικοί QR είναι πραγματικά χρήσιμοι για αυτήν τη δουλειά, επειδή ένας χρήστης δεν μπορεί να καταλάβει σε ποιον ιστότοπο να πάει κοιτάζοντας τον κωδικό QR.

Φανταστείτε να συνδέεστε σε έναν ιστότοπο που μοιάζει με έναν ιστότοπο όπως το Twitter και έχει παρόμοια διεύθυνση URL. Εάν εισαγάγετε τα στοιχεία σύνδεσής σας εδώ, μπερδεύοντάς τα με το Twitter, μπορεί να χάσετε τον λογαριασμό σας από έναν χάκερ.

Πώς να αποφύγετε τους μη ασφαλείς κωδικούς QR

Στην αρχή των μέτρων που μπορούν να ληφθούν κατά των επιθέσεων που γίνονται από χάκερ με κωδικούς QR, το άτομο που είναι ο πιο αδύναμος κρίκος στην αλυσίδα ασφαλείας έρχεται πρώτο. Με άλλα λόγια, ένας χρήστης θα πρέπει να είναι πιο προσεκτικός απέναντι στις επιθέσεις κοινωνικής μηχανικής και να μην σαρώνει κωδικούς QR των οποίων η πηγή είναι άγνωστη. Δεδομένου ότι οι άνθρωποι δεν μπορούν να διαβάσουν κωδικούς QR, μπορεί να είναι δύσκολο να γνωρίζουν ποιον να εμπιστευτούν. Αυτός είναι ο λόγος για τον οποίο θα πρέπει να χρησιμοποιείτε ασφαλείς αναγνώστες κωδικών QR.

Διατηρήστε ενημερωμένο το λειτουργικό σύστημα της κινητής σας συσκευής και χρησιμοποιήστε μια εφαρμογή για να διαβάσετε τους κωδικούς QR με ασφάλεια. Πολλές σύγχρονες κινητές συσκευές διαθέτουν ενσωματωμένο πρόγραμμα ανάγνωσης κωδικών QR στις κάμερές τους. Ωστόσο, η ύπαρξη μιας εφαρμογής κωδικού QR στην κινητή συσκευή που επιτρέπει στους χρήστες να ελέγχουν τη διεύθυνση URL πριν την επισκεφτούν, τους δίνει τη δυνατότητα να επαληθεύσουν την πηγή της διεύθυνσης URL στην οποία πρόκειται να αποκτήσουν πρόσβαση. Αυτός ο έλεγχος ασφαλείας δεν είναι δυνατός για κωδικούς QR που δεν παρέχουν συνοδευτικές πληροφορίες. Επομένως, όλες οι εφαρμογές ανάγνωσης κώδικα QR πρέπει να εμφανίζουν την αποκωδικοποιημένη διεύθυνση URL στον χρήστη πριν ανοίξουν τον σύνδεσμο και ζητήσουν την επιβεβαίωσή τους.

Ερευνήστε το λογισμικό δημιουργίας κωδικών QR

Επικύρωση του γεννήτρια κωδικού QR και η ακεραιότητα των δοκιμών των δεδομένων θα χρησιμεύσει ως μέτρο ενάντια σε πιθανές επιθέσεις απάτης, SQL injection και command injection. Είναι σημαντικό να τυποποιηθούν και να ενσωματωθούν οι ψηφιακές υπογραφές για τον έλεγχο ταυτότητας κωδικού QR και να επαληθευτεί εάν ο κωδικός QR έχει τροποποιηθεί ή όχι. Οι ψηφιακές υπογραφές περιπλέκουν σημαντικά τις επιθέσεις που βασίζονται σε κώδικα QR, καθώς απαιτούν από τον εισβολέα να τροποποιήσει το άθροισμα ελέγχου και έτσι να αλλάξει τη διαδικασία επαλήθευσης.

Δεν πρέπει να βασίζεστε στις πολυάριθμες γεννήτριες κωδικών QR που μπορείτε να βρείτε στο Διαδίκτυο. Δώστε προσοχή στην τεχνολογία και την εταιρεία πίσω από αυτές τις γεννήτριες.

Προσέξτε για μη ασφαλείς διευθύνσεις URL

Η ανακατεύθυνση των επισκεπτών σε μη αξιόπιστες διευθύνσεις URL είναι μια από τις πιο δημοφιλείς επιθέσεις κώδικα QR, η οποία μπορεί να οδηγήσει σε απόπειρες ηλεκτρονικού ψαρέματος (phishing) και στη μετάδοση κακόβουλου λογισμικού όπως ιούς, ιούς τύπου worm και trojans. Για να διασφαλιστεί η αξιοπιστία του διαδικτυακού υλικού έναντι τέτοιων επιθέσεων, είναι κρίσιμο να επικυρωθεί τη νομιμότητα του περιεχομένου καθορίζοντας εάν το πρόγραμμα ανάγνωσης κωδικών QR μπορεί να διαφοροποιήσει μεταξύ ψευδούς και γνήσιου διευθύνσεις URL.

Προσοχή στους εκτελέσιμους κωδικούς

Για να αποτρέψετε την πρόσβαση στους πόρους της συσκευής σάρωσης σε εκτελέσιμους κωδικούς ή εντολές που σαρώνονται από έναν κωδικό QR, είναι απαραίτητο να απομονώσετε το περιεχόμενο του κώδικα QR. Η απομόνωση του περιεχομένου μπορεί να βοηθήσει στην αποτροπή επιθέσεων όπως παραβιάσεις απορρήτου, πρόσβαση σε προσωπικές πληροφορίες και χρήση της συσκευής σάρωσης για επιθέσεις όπως DDoS και Botnets. Η απλούστερη μέθοδος είναι να αποκλείσετε την πρόσβαση εφαρμογών, συμπεριλαμβανομένων των εφαρμογών σάρωσης κωδικών QR, στους πόρους της συσκευής σάρωσης (όπως κάμερα, τηλεφωνικό κατάλογο, φωτογραφίες, πληροφορίες τοποθεσίας κ.λπ.).

Χρησιμοποιήστε κωδικούς QR, αλλά προσεκτικά

Με τη γρήγορη επέκταση της τεχνολογίας, οι κωδικοί QR έχουν γίνει μέρος της καθημερινότητάς μας. Μπορείτε να μειώσετε τους κινδύνους που συνδέονται με τους κωδικούς QR χρησιμοποιώντας τους με σύνεση και λαμβάνοντας μέτρα.

Να είστε προσεκτικοί κατά τη σάρωση κωδικών QR που συναντώνται στο Διαδίκτυο ή σε πραγματικό περιβάλλον. Χρησιμοποιήστε αξιόπιστα προγράμματα και διατηρήστε τις συσκευές σας προστατευμένες με ενημερωμένο λογισμικό προστασίας από ιούς. Καλό είναι επίσης να μην σαρώνετε κωδικούς QR από ύποπτους ή αναξιόπιστους ιστότοπους και να μην δίνετε προσωπικά στοιχεία.