Código QR malintencionado y mitigación

Navega tus respuestas
15

Acabo de comenzar a leer un poco sobre el código QR, así que no estoy del todo familiarizado con las capacidades del Código QR, pero un pensamiento cruzó mi mente hoy.

Escané un código QR en una tarjeta postal que recibí y de inmediato me llevó a un sitio web.

Al igual que los acortadores de URL, ¿existe alguna protección contra el ocultamiento de un sitio malicioso en el código QR?

También me di cuenta de que puedes usar el código QR para muchas otras cosas, como VCards, videos de Youtube, etc. ...

¿Puede insertar un código que luego se ejecuta en el cliente cuando se escanea?

Nuevamente, empecé a leer, así que mi comprensión de esta tecnología es bastante débil, pero principalmente lo que busco son algunas ideas de amenazas potenciales al escanear códigos QR, así como posibles técnicas de mitigación.

  

Esta pregunta fue Cuestión de la semana sobre seguridad de TI .
  Lea el 4 de mayo de 2012 entrada de blog para obtener más detalles o envíe su propia Pregunta de la semana.

    
pregunta Purge 01.02.2012 - 03:48
fuente

3 respuestas

11

Un código QR no es más que una codificación de datos. Las URL que se codifican como códigos QR son solo un uso específico. Como usted dice, sufre los mismos problemas que los acortadores de URL, ya que es posible que nunca sepa realmente a dónde va hasta que lo lleve allí. Sin embargo, cualquier decodificador podría proporcionar una zona de aterrizaje segura antes de permitir el lanzamiento de un navegador.

Debido a que el código QR puede codificar cualquier información hasta un máximo específico, el uso del código QR solo está limitado por las aplicaciones que los escanean y hacen uso de los datos. Esto permite un área de ataque amplia y ciega. Además, el propio decodificador podría tener una variedad de desbordamientos de búfer para explotar.

    
respondido por el logicalscope 01.02.2012 - 05:18
fuente
6

La mitigación es muy simple, y algunos escáneres de códigos QR ya lo hacen:

No vaya directamente a la URL, sino que la muestre en su totalidad, para que el usuario pueda validarla primero.

Sin embargo, esto no es tan fácil de usar, por lo que a menudo las aplicaciones te llevan directamente al sitio web. Si esa URL es maliciosa (lo cual es muy fácil, podría llevarlo a cualquier sitio web), entonces su dispositivo podría verse comprometido al instante. Se acabó el juego.

    
respondido por el Rory Alsop 01.02.2012 - 10:45
fuente
1

Sí, pueden ser un gran problema, y creo que eventualmente será una amenaza común.

respondido por el handyjohn 01.02.2012 - 07:52
fuente

Lea otras preguntas en las etiquetas

¿Qué tan probable / posible es que la NSA haya roto las técnicas comunes de encriptación, como SSL / TLS? Práctica recomendada de seguridad VPS