КР кодови могу изгледати безопасно, али су ризичнији него што мислите.
КР кодови су популарни јер их дигитални уређаји могу брзо прочитати и многе ствари чине практичнијим. Можете да претражујете веб локације, преузимате датотеке, па чак и да се повезујете на Ви-Фи мреже скенирањем КР кода.
Али, нажалост, употреба КР кодова такође представља могуће безбедносне проблеме.
Које су опасности од КР кодова?
Неко може да користи КР кодове за напад и на интеракцију људи и на аутоматизоване системе. Да бисте предузели мере предострожности, размотрите неколико примера.
СКЛ Ињецтион Аттацк
СКЛ Ињецтион је вектор напада који хакери користе за напад на апликације вођене базом података. Овим методом они имају за циљ да украду податке у бази података.
Да бисте овоме приступили из перспективе КР кода, замислите сценарио где се софтвер за декодирање КР-а повезује са базом података и користи информације КР кода за извршавање упита. Такође, постоји а Рањивост СКЛ ињекције. У таквом сценарију, читач КР кодова може покренути ваш упит без провере да ли долази из аутентификованог извора. Дакле, хакер може украсти информације у бази података.
Ово није ни тако тешко ни тако замршено као што се чини. Када скенирате КР код, веза се приказује на читачу КР кодова. Модификовањем параметара УРЛ-а могуће је извршити нападе као што је СКЛ ињекција. УРЛ на који вас скенер КР кода преусмерава може вам, наравно, дозволити да извршите такав вектор напада.
Цомманд Ињецтион
У методу убризгавања команде, нападач може да убаци ХТМЛ код који мења садржај странице. Кад год корисник посети измењену страницу, веб претраживач тумачи код, што резултира извршавањем злонамерних команди на уређају где корисник скенира КР код. Другим речима, ово је ситуација у којој се унос из КР кода користи као параметар командне линије.
У том случају, нападач може једноставно искористити ситуацију тако што ће променити КР код и покренути произвољне команде на машини. Нападач може да користи овај метод да примени роотките, шпијунски софтвер и ДоС нападе, као и да се повеже са удаљеном машином и добије приступ системским ресурсима.
Социјални инжењеринг
Друштвени инжењеринг је општи назив за манипулисање људима да би добили неовлашћени приступ њиховим поверљивим информацијама. Хакери користе овај метод да украду ваше податке или провале у систем. Пецање је једна од тактика најчешће коришћени.
Са пхисхингом, циљани људи су приморани да кликну или посете лажне веб локације. КР кодови су заиста корисни за овај посао јер корисник не може да разуме на који сајт да оде гледајући КР код.
Замислите да се пријавите на сајт који изгледа исто као сајт као што је Твиттер и има сличан УРЛ. Ако овде унесете своје податке за пријаву, погрешно их сматрате Твиттером, можете изгубити налог од хакера.
Како избећи небезбедне КР кодове
На почетку мера које се могу предузети против напада хакера са КР кодовима, на првом месту је особа која је најслабија карика у ланцу безбедности. Другим речима, корисник би требало да буде опрезнији против напада социјалног инжењеринга и не би требало да скенира КР кодове чији је извор непознат. Пошто људи не могу да читају КР кодове, може бити тешко знати коме веровати. Због тога би требало да користите безбедне читаче КР кодова.
Одржавајте оперативни систем свог мобилног уређаја ажурним и користите апликацију за безбедно читање КР кодова. Многи модерни мобилни уређаји долазе са уграђеним читачем КР кодова у својим камерама. Међутим, поседовање апликације за КР код на мобилном уређају која омогућава корисницима да провере УРЛ пре него што га посете даје им могућност да провере извор УРЛ адресе којој ће приступити. Ова безбедносна провера није могућа за КР кодове који не пружају никакве пратеће информације. Због тога се од свих апликација за читање КР кодова захтева да прикажу декодирани УРЛ кориснику пре него што отворе везу и затраже њихову потврду.
Истражите софтвер за генерисање КР кодова
Валидатинг тхе генератор КР кода а тестирање интегритета података служиће као мера против могуће преваре, СКЛ ињекције и напада убризгавањем команди. Важно је стандардизовати и интегрисати дигиталне потписе за аутентификацију КР кодом и проверити да ли је КР код измењен или не. Дигитални потписи значајно компликују нападе засноване на КР коду јер захтевају од нападача да измени контролни збир и тако промени процес верификације.
Не треба се ослањати на бројне генераторе КР кодова које можете пронаћи на интернету. Обратите пажњу на технологију и компанију иза ових генератора.
Пазите на небезбедне УРЛ адресе
Преусмеравање посетилаца на непоуздане УРЛ адресе је један од најпопуларнијих напада на КР код, који може довести до покушаја крађе идентитета и преноса злонамерног софтвера као што су вируси, црви и тројанци. Да бисте обезбедили поузданост онлајн материјала од таквих напада, од кључне је важности да се потврди легитимитет садржаја утврђивањем да ли програм за читање КР кодова може да разликује лажни и оригинални УРЛ адресе.
Чувајте се извршних кодова
Да бисте спречили да извршни кодови или команде скениране КР кодом приступе ресурсима уређаја за скенирање, неопходно је изоловати садржај КР кода. Изоловање садржаја може помоћи у спречавању напада као што су нарушавање приватности, приступ личним подацима и коришћење уређаја за скенирање за напади као што су ДДоС и ботнетови. Најједноставнији метод је блокирање приступа апликацијама, укључујући апликације за скенирање КР кодова, ресурсима уређаја за скенирање (као што су камера, телефонски именик, фотографије, информације о локацији, итд.).
Користите КР кодове, али пажљиво
Уз брзу експанзију технологије, КР кодови су постали део нашег свакодневног живота. Можете смањити ризике повезане са КР кодовима тако што ћете их користити мудро и предузети мере.
Будите опрезни док скенирате КР кодове на Интернету или у стварном окружењу. Користите реномиране програме и заштитите своје уређаје уз помоћ ажурираног антивирусног софтвера. Такође је добра идеја да не скенирате КР кодове са сумњивих или непоузданих сајтова и да не дајете личне податке.
