Tegyük biztonságosabbá a QR kódokat!
Az elmúlt években azonban bővült a felhasználási körük és napjainkban sok esetben fizetési eszközként használjuk őket. Most, hogy fizetésre is használják őket, muszáj biztonságosabbá tenni őket” - mondta Szappanos Gábor, a Sophos, kiberbiztonsági vállalat szakértője.
A támadók számos módon árthatnak a QR-kódokat használóknak. Az egyik példa a QRLjacking a Sophos szerint. Az Open Web Application Security Project (OWASP) által támadói vektorként jelölt módszer végrehajtása akkor lehetséges, amikor valaki egyszerhasználatos jelszóként használ egy QR-kódot, ami megjelenik egy képernyőn. A támadó klónozhatja a QR kódot egy legitim oldalról egy adathalász oldalra és elküldheti azt az áldozatnak.
További aggodalomra adnak okot a hamis QR kódok. A bűnözők a saját QR kódjaikat tehetik a legitimek helyére. Ahelyett, hogy a felhasználó okostelefonját a kívánt marketingcélú vagy speciális ajánlatot tartalmazó oldalra irányítanák, a hamis kódok a felhasználót adathalász oldalakra vihetik, vagy olyanokra, amelyek Javascript-alapú malware-rel támadják meg. Kihasználhatják azt is, hogy a QR kódokat egyre többször használják kifizetésekhez. A csaló kicserélheti a QR kódot, amely így a legitim fizetőportál címe helyett a saját hamis fizetőoldalának URL-jére viszi a felhasználókat.
A QR-kódban használható biztonsági intézkedésekre már van is néhány javaslat: az egyik olyan titkosítást használ, amely megakadályozza, hogy egy harmadik fél beléptetésre használt QR kódokat derítsen fel és klónozzon. Egy másik javaslatban digitális aláírást ágyaznának a kódba, így erősítve meg a hitelességét, ez azonban az extra adatok miatt több helyet használ a kód elérhető tárolókapacitásából. A Sophos szerint gyorsan kell cselekednie, hiszen ahogyan a QR kódok terjednek, egyre nehezebbé válik a széles körben alkalmazott designt megváltoztatni.
KALKULÁTORUNKKAL (csak kattints rá) MOST KISZÁMOLHATOD, HOGY:
- Mekkora az agyad a magyar átlaghoz képest?
- Mekkora lenne az ideális vérnyomásod?
- Mennyi pénzt kellene keresned, ha rendesen megfizetnék a tudásodat?