Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.

Böse QR-Codes

12. Februar 2013

QR-Codes sind nun wirklich nichts Neues mehr.

Quadratisch, kryptisch, gut!

Tatsächlich haben sie längst ihren fixen Platz in unserem Alltag eingenommen:

  • Tickets (Messen, Kino, ...)
  • Gutscheine
  • Visitenkarten
  • Medien (Zeitung, TV, Werbebeilage, ...)
  • ...
Um ehrlich zu sein, sind QR-Codes durchaus als Bereicherung unserer Gesellschaft anzusehen. Zumindest solange sie "gut gemeint" sind.

Genaugenommen ist es aber jedes Mal ein Sprung ins kalte Wasser, wenn man einen QR-Code einscannt, denn niemand - außer unserer Scan-App - weiß tatsächlich, was sich hinter dem QR-Code unserer Begierde versteckt.

Dennoch ist es nicht der QR-Code alleine der "böse" ist oder es zumindest sein kann, denn der QR-Code ist lediglich codierte Information. Im Endeffekt liegt es in der Hand der Applikation, die den QR-Code scannt und interpretiert, wie die codierte Information behandelt wird.

Das ganze Konzept QR-Code, zumindest so, wie es in unseren Alltag gefunden hat, ist leider der perfekte Nährboden für Angriffe auf uns und unsere Geräte (Handy, Tablett, ...). Ist Otto Normalverbraucher mittlerweile schon skeptisch, wenn da eine Email von einem Unbekannten eintrifft und klickt NICHT auf den darin enthaltenen Link - wir sind zumindest optimistisch - ist seine Neugierde beim Auffinden irgend eines QR-Codes jedoch Antrieb genug, diesen seinem QR-Code-Scanner zum Fraß vorzuwerfen.

Worst Case Szenario

Man scannt mit seinem Handy einen QR-Code ein und der entsprechende Scanner leitet ohne nachzufragen automatisch auf eine URL weiter. Der dazu verwendete Browser ist verwundbar und "fehlinterpretiert" die angebotenen Daten auf der Zielwebseite. Das Handy ist fortan kompromittiert und wir haben darüberhinaus Daten verloren, denn der Schadcode hat postwendend auch gleich noch unsere SMSen/Mails/etc. nach interessant erscheinenden Begriffen/Mustern abgegrast und die Fünde an den Angreifer gesandt. Ferner freut sich der Angreifer natürlich auch schon darauf, wenn wir das nächste Mal mit unserem Handy (irrationalerweise) Online-Banking betreiben.

Assessment von QR-Code Scannern

Nachdem wir jetzt wissen, dass unser "QR-Code-Glück" eigentlich von unseren QR-Code Scannern abhängt, stellt sich natürlich die Frage:

"Welche in diesem breitgefächerten Angebot verhalten sich vertrauenswürdig?"

Eine Ende 2011 zusammengestellte Liste vieler der zum damaligen Zeitpunkt verfügbaren QR-Code Scannern liefert dabei einen sehr guten, wenn auch nicht mehr ganz aktuellen, Überblick.

APPLIKATION JAVASCRIPT URL
TapReader (TapBase LLC) - Bestätigung
QR+ (Alexandr Balyberdin) - Bestätigung
QRReader (Tap Media Ltd) - Automatischer Besuch
Scan (QR Code City, LLC) - Automatischer Besuch
RedLaser (Occipital, LLC) - Bestätigung
i-nigma (3GVision Ltd) - Automatischer Besuch
BeeTagg (connvision AG) - Bestätigung
QR Code Reader (ShopSavvy, Inc.) - Automatischer Besuch
QuickMark (SimpleAct Inc.) Ausführung Automatischer Besuch
QR+Emoji (Ching-Lan Huang) - Bestätigung
Bakodo (Dedoware Inc.) - Bestätigung
Optiscan (Airsource Ltd.) - Bestätigung
QR-Scanner (Grip’d LLC) - Bestätigung
quiQR (Mark Tholking) - Bestätigung
QR Code City (LLC) - Automatischer Besuch
RedLaser (eBay, Inc) - Bestätigung
ATTScanner - Bestätigung
QR Droid Private (DroidLa) - Bestätigung
Bakodo (iOS) - Bestätigung
Posted (iOS) Ausführung Bestätigung
NeoReader (X10 mini) Parsen Bestätigung
 (Quelle: https://appsec-labs.com/blog/security-assessment-of-mobile-qr-readers-%E2%80%93-a-comparison/)

Wie man sieht fragen viele (aber eben nicht alle) vor dem Besuch einer URL den Benutzer, ob das auch so in seinem Sinne ist. Bestätigt man allerdings diese Nachfrage, geht's ab .... zumindest im besten Fall zu einer ungefährlichen Werbe-URL. Mitdenken ist also allemal - wie auch sonst - Trumpf. Wenn man sich allerdings für den falschen QR-Code Scanner entschieden hat, bietet sich dazu nicht einmal die Möglichkeit.

Bislang weitestgehend unbeleuchtet ist auch zu erwähnen, dass manche QR-Code Scanner sogar die Interpretation/Ausführung von Javascript unterstützen - Kurzes, nüchternes Statement: "Gar keine gute Idee!"

Für welchen QR-Code Scanner soll man sich also entscheiden. Nun, es sollte auf alle Fälle einer sein, der eine Bestätigung von uns einholt, bevor er sich in potentiell feindliche Gefilde begibt und KEIN Javascript interpretiert/ausführt.

Conclusio

QR-Codes sind toll, können aber auch mal böse sein. Wie viel Angriffsfläche wir bieten, liegt wie so oft bei uns selbst. Auf jeden Fall sollten wir bei der Wahl und Konfiguration unseres QR-Code Scanners Vorsicht walten lassen und diesen - wie auch all unsere anderen Applikationen - aktuell halten.

Autor: Christian Wojner

Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Update: "Zero-Day" Sicherheitslücke in Adobe Flash Player - aktiv ausgenützt - Patches verfügbar
7. Juni 2018 | Update: ...
Kritische Sicherheitslücken in Adobe Acrobat, Adobe Reader und Adobe Photoshop CC - Patches verfügbar
15. Mai 2018 | Beschreibung Adobe ...
mehr ...
In eigener Sache: CERT.at sucht Verstärkung
5. Juni 2018 | Für unsere ...
NIS Update
15. Mai 2018 | Am 9. ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2013/2/12 - 15:58:57
Haftungsausschluss / Datenschutzerklärung