QR таговете могат да бъдат подправени, за да атакуват смарт телефони


Вероятно сте виждали QR тагове хиляди пъти, от рекламите в метрото до купонната листовка по пощата до продуктите в супермаркета. Те приличат на баркодове с размер на печат, мрежа от малки черно-бели правоъгълници и квадратчета, обикновено с по-големи черни квадратчета в ъглите. А мечта-дойде истинско на пазара, тези миниатюрни изображения са в състояние да съхранява и предаване на товари от данни директно на смартфоните на заинтересованите клиенти. Когато човек сканира QR маркер с смартфон, тагът мож

Вероятно сте виждали QR тагове хиляди пъти, от рекламите в метрото до купонната листовка по пощата до продуктите в супермаркета. Те приличат на баркодове с размер на печат, мрежа от малки черно-бели правоъгълници и квадратчета, обикновено с по-големи черни квадратчета в ъглите.

А мечта-дойде истинско на пазара, тези миниатюрни изображения са в състояние да съхранява и предаване на товари от данни директно на смартфоните на заинтересованите клиенти. Когато човек сканира QR маркер с смартфон, тагът може да направи всякакви неща, включително да отнеме правото на потребителя на уебсайта на продукта.

[Как да защитите смартфона си от зловреден софтуер]

Но както всяка технология, те също могат да бъдат манипулирани, за да хапят ръцете или телефоните, които ги захранват. В блога за мобилна сигурност Kaotico Neutral, изследователят Аугусто Перейра показа как тези безвредни QR маркери могат да бъдат направени в оръжия за киберпрестъпления.

В своето пробивно схващане, Pereyra взе QR маркер, който е създал от създател на безплатен онлайн таг и е вградил в него URL за атакуващ сървър, наречен evilsite.dyndns.org. Когато целевият смартфон сканира етикета, браузърът беше насочен към фалшивия сайт и хранен със зловреден софтуер.

QR таговете се рекламират заради тяхното удобство, но това е същото удобство - заедно с нарастващото им разпространение - което Перейра вярва, че може да им позволи да станат опасни вектори на атака. Популярният софтуер за сканиране на QR тагове, като ScanLife, автоматично отвежда мобилните браузъри на сайта, вграден в етикета, и макар че прави процеса бърз, той не прави нищо за неговата безопасност.

"Това е сериозен проблем, тъй като това е еквивалент на кликване върху връзка със затворени очи", пише Перейра.

Тим Армстронг, изследовател на фирмата за сигурност на Kaspersky Lab, каза, че този опростен процес създава манталитет "първо, задайте въпроси по-късно", който е от полза за атакуващите.

Една атака, подобна на неговата, може лесно да бъде увеличена, казва Пейрира, просто като отпечата нагласените QR тагове и ги постави върху вече съществуващите етикети на плакати на обществени места.

Тъй като компаниите и маркетолозите се възползват от силата и повсеместното присъствие на мобилните устройства, а за потребителите става по-лесно да извършват финансови транзакции чрез смартфони, изследователите подозират, че онлайн атакуващите ще се опитат да си намерят място на пазара.

  • 10 начина да ви наблюдава правителството
  • Как бандата на киберпрестъпността е откраднала 13 милиона долара за 1 ден
  • Преглед на антивирусен софтуер