Uwaga na kody

5 lip 2012 11:20

Kody QR, czyli kody szybkiego dostępu to nowoczesne narzędzie dla marketingowców. Jednakże wykorzystują je także hakerzy, oszukując nieświadomych użytkowników smartfonów. W dzisiejszych czasach kody QR są już praktycznie wszędzie: w magazynach, na autobusach, na reklamach na przystankach tramwajowych, na opakowaniach produktów spożywczych itp. Dzięki prostemu zeskanowaniu kodu przy użycia smartfonu posiadacz telefonu może szybko dotrzeć do cyfrowej informacji, która jest wywoływana za pomocą kodu. Niestety, aplikacje skanujące kody QR działające na smartfonach mogą dawać bezpośredni dostęp do innych funkcjonalności telefonu takich jak e-mail, SMS, usługi lokalizacyjne i instalowania aplikacji, co jeszcze bardziej zwiększa potencjalne ryzyko ataku na urządzenie mobilne. Pierwszym krokiem do przeprowadzenia ataku z wykorzystaniem kodu QR jest samo rozpowszechnienie kodu tak, aby znalazł się on bezpośrednio przed potencjalną ofiarą. Można tego dokonać dołączając kod QR do wiadomości e-mail lub poprzez rozpowszechnienie wiarygodnie wyglądających dokumentów z nadrukowanymi kodami QR, np. ulotek na prezentacjach handlowych lub nawet naklejek przyklejonych do prawdziwych ogłoszeń na billboardach. Jak tylko kod QR zostanie rozpowszechniony, atakujący ma mnóstwo możliwości wyboru rodzaju ataku. Najprostszy z nich to zwykłe przekierowanie użytkownika na fałszywą stronę internetową, aby przeprowadzić atak phishingowy – np. fałszywy sklep internetowy lub strona do płatności online. Bardziej złożone ataki wykorzystują kody QR do przekierowania użytkowników do stron, które dokonają włamania na ich urządzenia przenośne - czyli otrzymania uprawnień administratora na systemie operacyjnym urządzenia i zainstalowania złośliwego oprogramowania. Jest to atak typu umożliwiający zainstalowanie bez wiedzy i pozwolenia użytkownika dodatkowego oprogramowania lub aplikacji, np. typu key logger (rejestrujących zapis z klawiatury) lub śledzących położenie urządzenia z wykorzystaniem GPS. Prawdopodobnie największym potencjalnym zagrożeniem dla użytkowników jest coraz większa popularność bankowości i płatności dokonywanych z użyciem smartfonów. Dzięki temu, że kody QR mają możliwość włamania się na urządzenie przenośne i manipulowania aplikacjami, daje to hakerom szansę na wirtualną kradzież kieszonkową portfeli na urządzeniach przenośnych. W jaki sposób można zapobiec zagrożeniom płynącym z kodów QR? Najważniejszy środek ostrożności to możliwość dokładnego ustalenia, do jakiej strony lub zasobu przekieruje nas kod po zeskanowaniu. Niektóre (nie wszystkie) aplikacje do skanowania kodów QR umożliwiają sprawdzenie elementu docelowego i - co jest najistotniejsze - proszą użytkownika o potwierdzenie chęci wykonania akcji. Daje to możliwość sprawdzenia przez użytkownika poprawności docelowego odnośnika, zanim kod zostanie aktywowany. Jeżeli chodzi o firmowe smartfony, warto rozważyć zastosowanie szyfrowania danych. Nawet gdy złośliwy kod QR zdoła zainstalować konia trojańskiego na urządzeniu, wrażliwe dane pozostaną wciąż chronione, a haker nie będzie miał do nich natychmiastowego dostępu i możliwości ich wykorzystania. Jednak podstawowym środkiem bezpieczeństwa jest jak zawsze zdrowy rozsądek podczas korzystania z nowych technologii. Kody QR stają się narzędziem hakerów tylko wówczas, gdy lekkomyślnie skanujemy, co popadnie. Opracowano na podstawie checkpoint.com/CNET/WP.PL