未知のQRコードをスキャンすることのセキュリティリスク
信頼できないソースからQRコードをスキャンすることのセキュリティ上のリスクは何ですか?
QRコードが攻撃者によって作成された場合、攻撃者は私に何ができますか?広く使用されているQRスキャナーに既知の脆弱性はありますか? QRコードにはどのような情報を保存できますか。QRスキャナーではどのように処理され、攻撃者はこれをどのように使用できますか?
QRコードにURLを含めることができることは知っています。多くのリーダーがそのURLにブラウザーを起動するので、QRコードを起動ポイントとして使用して、ブラウザーに対して悪用される可能性のあるあらゆる攻撃を仕掛けることができます。他に何かありますか?他のデータをQRコードに保存して、スキャナーで自動的に処理できますか?
これは、直面する可能性のあるいくつかのリスクです。
QRコードが有毒なWebサイトにリンクしている場合、このサイトはブラウザーを悪用しようとする可能性があります。危険は、ブラウザーが安全であるか、脆弱性があり、エクスプロレーションのタイプであるかによって異なります。
QRコードはスキャナーアプリケーションを悪用する可能性があります。この悪用は意図的に破損したQRコードによって実行できます。このコードはスキャナーアプリケーションのプロセスに影響を与える可能性があります。明らかに、悪用はスキャナーアプリケーションが脆弱な場合にのみ成功する可能性があります。最初のケースと同様に、危険はエクスプロレーションのタイプによって異なります。
参照
これが文字列、バーコード、またはQRコードであるかどうかに関係なく、ユーザー入力を信頼する必要はありません。それらのすべては、あなたのアプリケーションを悪用することができます。例えば。 SQLインジェクション。このPDFをご覧ください。質問にとても役立ちます:) http://qrcodethursday.files.wordpress.com/2011/03/qr_code_security.pdf
おまけ:これが冗談か本当に本当かはわかりませんが、理にかなっています: http://cicero.files.wordpress.com/2010/04/500x_for_traffic_cameras.jpg
2次元コードとも呼ばれるQRコード、クイック応答コードは、小さな黒い四角形で覆われた小さな白い四角形です。スマートフォンのカメラで読み取ることができ、一度読み取るとすぐにスマートフォンユーザーをウェブページにリダイレクトできます。
QRコードはどのように使用されますか?
QRコードをさまざまな方法で使用して、ビジネスを宣伝したり、一般的なテキスト、URL、電話番号、名刺をエンコードしたり、WiFiアクセスを提供したりして、製品やサービスに関する詳細情報を提供できます。
ベストプラクティス
*フィッシングの匂いがする場合は、投げ捨てます。私たちのほとんどは、明らかにスパムである電子メールを開こうとはしません。ただし、QRコードはコードを見ただけでは良いものから悪いものを取り除くことができないため、注意が必要です。脆弱性は事実上設計の一部であるため、ウェブページを開く前に各コードのプレビューを提供するアプリを携帯電話にダウンロードすることを検討してください(例: I-nigma )。このように、QRコードが破損していると思われる場合は、拒否する権利があります。
*「好奇心が猫を殺した」という古いことわざを思い出してください。ハッカーは好奇心を食い物にするので、壁に貼られた孤独なQRコードを目にした場合は、スキャンして、なぜそこにあるのか、何をしているのかを調べないでください。
QRコードには、追跡情報を含むURLを含めることができます。
悪意のある当事者がレターボックスにチラシを投稿し、QRコードをスキャンしてオンラインの請願書に署名するように要求するとします。彼らは追跡コードを使用して署名者の住所を記録し、その後彼らの家に発砲しました。
Samsung USSDリモートワイプ攻撃は、URL/Telリンクを埋め込んだQRコードで実行できます。 エコパーティービデオ 。
または、pdfへのURLをカーネルに追加することもできます。 Jailbreakme V 。