QR kódy – dobrý pomocník, či bezpečnostné riziko?

QR kódy – dobrý pomocník, či bezpečnostné riziko?

QR kódy nie sú žiadnou novinkou a medzi používateľmi, ako aj spoločnosťami sú pomerne obľúbené. Aké sú však bezpečnostné riziká, ktoré z ich používania vyplývajú?

Quick Response alebo QR kód zažil rýchly nástup najmä s nástupom rýchlo rastúceho trhu so smartfónmi. Vznikol v Japonsku, odkiaľ sa veľmi rýchlo rozšíril do celého sveta. Je to štvorcový obrazec, ktorý sa skladá z bielych a čiernych štvorcov. Tie spolu tvoria digitálne čitateľnú mozaiku. V rohoch sú tri väčšie a jeden menší štvorec, ktoré slúžia pre skenovacie zariadenie ako body, ktoré zarovnávajú pozíciu, kým menšie biele a čierne štvorčeky obsahujú zakódovanú informáciu. Prvé kódy boli veľké iba 21×21 pixelov, no ich rozmery rástli a posledná verzia meria už 177×177 pixelov.

Využívanie QR kódov

Využitie kódu je pestré. Najčastejšie sa používa na prepojenie tradičných tlačených médií s digitálnym obsahom. Obľúbený je aj u firiem, ktoré ho používajú na triedenie zásielok, vykonávanie platieb a pod. Výhodou QR kódu v porovnaní s tradičným čiarovým kódom je to, že dokáže uložiť omnoho väčšie množstvo informácií (až stonásobne viac), ako sú napríklad odkazy na weby, polohu alebo text. Vďaka tomu má širšie uplatnenie.

QR kódy našli široké uplatnenie aj na Slovensku. V ostatnom období sú využívané aj zo strany štátnych organizácií. Vo vysokej miere ich využíva napríklad Finančná správa Slovenskej republiky, ktorá prostredníctvom automatizovaného systému pri finančných a colných kontrolách zaznamenáva QR kódy, ktoré následne ukladá priamo do databázy a zabraňuje tak dodatočnej manipulácii.

S týmto zaujímavým a efektívnym riešením prišla slovenská spoločnosť Allexis s.r.o. „V prípade alkoholových a tabakových výrobkov ide najmä o odhaľovanie falzifikátov, ktoré spôsobujú nemalé úniky na spotrebných daniach, ale môžu aj vážne poškodiť zdravie spotrebiteľa“, informoval Michal Suchoba zo spoločnosti Allexis. Využívanie QR kódov tak napomáha bojovať proti daňovým únikom na Slovensku. Nie je to však ich výlučné využitie. „Pomocou skenovania QR kódu, si dnes spotrebitelia môžu overiť autenticitu a originalitu výrobku, či získať dodatočné informácie o produkte. A robia tak čoraz viac, čo nás mimoriadne teší“, dodáva Michal Suchoba.

Bezpečnostné riziko QR kódov

Ako väčšina technológií, aj QR kódy majú svoje bezpečnostné riziká. S ich rastúcou popularitou vzbudili záujem aj u kriminálnikov, ktorí hľadajú spôsoby ako túto technológiu zneužiť.

Najčastejším zariadením bežného zákazníka na skenovanie kódov je jeho smartfón. Paradoxne, smartfóny bývajú zároveň pre nevedomosť alebo nedbalosť užívateľov najmenej zabezpečené zariadenia. Pri veľkom množstve ich užívateľov sa tak otvára priestor na zneužitie.

V podstate je jedno, ako konkrétne zariadenie prečíta QR kód, v konečnom dôsledku ho stále pretransformuje na odkaz, ktorý prepojí zariadenie na zakódovanú adresu. Webová stránka, na ktorú táto adresa odkazuje, však môže obsahovať škodlivý kód, ktorý zariadenie infikuje, najčastejšie trójskym koňom. Po nakazení sa trójsky kôň pripojí na hackerom riadený server, ktorému potvrdí, aké zariadenie infikoval a dostane ďalšie príkazy. Tie sa môžu líšiť v závislosti od cieľov páchateľa.

Vytvorenie infikovaného QR kódu nie je žiadna veda. Existuje mnoho nástrojov na ich vytvorenie, a mnoho z nich je dostupných priamo online, kde si môže ktokoľvek vytvoriť kód s vlastnou informáciou.

Distribúcia škodlivého kódu

Samotné QR kódy nemôžu byť hacknuté. Ak napríklad nejaká spoločnosť vytvorí QR kód s odkazom na svoj výrobok, takýto kód/obrázok sa už upraviť nedá. Znamená to, že kódy vytlačené napríklad na reklamných letákoch už hackeri zneužiť nemôžu.

Lenže podobne ako pri mailových kampaniach, aj v prípade QR kódov sa často využíva phishing. Kriminálnici vytvoria falošný web, ktorý vyzerá dôveryhodne a vyžaduje od používateľa prihlásenie. Hacker tak získa prihlasovacie údaje napríklad k internetbankingu a následne ich zneužije. Prípadne infikuje zariadenie.

Ako bolo spomínané, samotný kód sa zmeniť nedá. Hackeri však môžu kód vymeniť. Na veľkých plagátoch sa dá kód dôkladne prelepiť. Dajú sa tiež distribuovať dôveryhodne vyzerajúce materiály so škodlivým kódom. Ten používateľa presmeruje na falošný web a infikuje. Keďže ide o mobilné zariadenia s menším displejom, prehliadače často nezobrazujú plné znenie odkazu, ale iba jeho skrátenú verziu, čo si užívatelia neskontrolujú.

Možnosťou je aj využitie kódov, ktorým expirovali adresy, na ktoré odkazovali, no kódy zostali v obehu. Podobný prípad sa stal spoločnosti Heinz. Tá na svoje flaše kečupu vytlačila QR kód odkazujúci na jej promo akciu. Spoločnosť však zabudla predĺžiť platnosť domény, čo využil niekto iný a doménu jej vyfúkol. Po naskenovaní kódu sa tak zákazník namiesto akciovej stránky dostal na pornografický web. Mohlo to dopadnúť aj horšie, keby presmerovanie viedlo ku škodlivému kódu, prípadne k sofistikovane vytvorenej phishingovej stránke.

Ako predísť podobným situáciám?

QR kódy nie sú žiadnou novinkou, no dajú sa zneužiť podobne ako väčšina technológií. Ako sa vyhnúť rizikám?

Pred naskenovaním si kód dôkladne prezrite – na vytlačených materiáloch skontrolujte, či nebolo s obrázkom manipulované, či nie je prelepený a podobne. Ak nájdete QR kód, ktorý je “pohodený“ na verejnom priestranstve bez nejakých dodatočných informácií o tom, k čomu patrí, oblúkom sa mu vyhnite.

Nikdy neposkytujte svoje osobné informácie – ak vás kód presmeruje na doménu, ktorá si vyžaduje prihlásenie, vyhnite sa jej a radšej sa k nej preklikajte cez manuálne zadaný odkaz, aby ste si potvrdili jej pravosť. V opačnom prípade môžete prísť o svoje prihlasovacie údaje.

Skontrolujte odkaz pred potvrdením – niektoré aplikácie na čítanie QR kódu zobrazia plné znenie odkazu a pred presmerovaním si od vás vyžiadajú potvrdenie. Dôkladne si odkaz prezrite, aby ste sa presvedčili, že ide o pravú webstránku.

(MK)