کدهای QR چقدر ایمن هستند؟ چگونه آنها را با خیال راحت اسکن کنیم

کدهای QR ممکن است بی ضرر به نظر برسند، اما خطرناک تر از آن چیزی هستند که فکر می کنید.

کدهای QR محبوب هستند زیرا می توانند به سرعت توسط دستگاه های دیجیتال خوانده شوند و بسیاری از چیزها را کاربردی تر کنند. با اسکن یک کد QR می توانید وب سایت ها را مرور کنید، فایل ها را دانلود کنید و حتی به شبکه های Wi-Fi متصل شوید.

اما، متأسفانه، استفاده از کدهای QR نیز مشکلات امنیتی احتمالی را ایجاد می کند.

خطرات کدهای QR چیست؟

کسی می تواند از کدهای QR برای حمله به تعاملات انسانی و سیستم های خودکار استفاده کند. برای انجام اقدامات احتیاطی، چند مثال را در نظر بگیرید.

حمله تزریق SQL

SQL Injection یک بردار حمله است که هکرها از آن برای حمله به برنامه های کاربردی مبتنی بر پایگاه داده استفاده می کنند. با این روش، آنها قصد دارند داده های موجود در پایگاه داده را به سرقت ببرند.

برای نزدیک شدن به این موضوع از منظر کد QR، سناریویی را تصور کنید که در آن نرم افزار رمزگشایی QR به یک پایگاه داده متصل می شود و از اطلاعات کد QR برای اجرای یک پرس و جو استفاده می کند. همچنین، یک آسیب پذیری تزریق SQL وجود دارد. در چنین سناریویی، خواننده کد QR ممکن است پرس و جوی شما را بدون بررسی اینکه آیا از منبعی احراز هویت شده است را اجرا کند. بنابراین، هکر می تواند اطلاعات موجود در پایگاه داده را سرقت کند.

این نه آنقدر که به نظر می رسد سخت و نه پیچیده است. هنگامی که یک کد QR را اسکن می کنید، یک پیوند در خواننده کد QR نشان داده می شود. با تغییر پارامترهای URL، می توان حملاتی مانند تزریق SQL را انجام داد. آدرس اینترنتی که اسکنر کد QR شما را به آن هدایت می‌کند، البته ممکن است به شما اجازه دهد که چنین بردار حمله‌ای را انجام دهید.

تزریق فرمان

در روش تزریق دستور، مهاجم می تواند کد HTML را که محتوای صفحه را تغییر می دهد، تزریق کند. هر زمان که کاربر از صفحه اصلاح شده بازدید می کند، مرورگر وب کد را تفسیر می کند و در نتیجه دستورات مخربی در دستگاهی که کاربر کد QR را اسکن می کند، اجرا می شود. به عبارت دیگر، این وضعیتی است که ورودی کد QR به عنوان پارامتر خط فرمان استفاده می شود.

در چنین حالتی، مهاجم ممکن است به سادگی با تغییر کد QR و اجرای دستورات دلخواه بر روی دستگاه از موقعیت استفاده کند. مهاجم می‌تواند از این روش برای استقرار روت‌کیت‌ها، جاسوس‌افزارها و حملات DoS و همچنین اتصال به یک ماشین دور و دسترسی به منابع سیستم استفاده کند.

مهندسی اجتماعی

مهندسی اجتماعی نام عمومی برای دستکاری افراد برای دسترسی غیرمجاز به اطلاعات محرمانه آنهاست. هکرها از این روش برای سرقت اطلاعات شما یا نفوذ به یک سیستم استفاده می کنند. فیشینگ یکی از تاکتیک هایی است که بیشتر مورد استفاده قرار می گیرد.

با فیشینگ، افراد هدف مجبور به کلیک کردن یا بازدید از وب سایت های جعلی می شوند. کدهای QR واقعاً برای این کار مفید هستند زیرا کاربر با دیدن کد QR نمی تواند بفهمد که به کدام سایت مراجعه کند.

تصور کنید وارد سایتی شده اید که شبیه سایتی مانند توییتر است و URL مشابهی دارد. اگر اطلاعات ورود خود را در اینجا وارد کنید و آن را با توییتر اشتباه بگیرید، می توانید حساب خود را به دست یک هکر از دست بدهید.

چگونه از کدهای QR ناامن جلوگیری کنیم

در ابتدای اقداماتی که می توان در برابر حملات هکرها با کدهای QR انجام داد، فردی که ضعیف ترین حلقه در زنجیره امنیتی است، حرف اول را می زند. به عبارت دیگر، کاربر باید در برابر حملات مهندسی اجتماعی دقت بیشتری داشته باشد و نباید کدهای QR را که منبع نامشخص است اسکن کند. از آنجایی که مردم نمی‌توانند کدهای QR را بخوانند، تشخیص اینکه به کدام یک اعتماد کنیم دشوار است. به همین دلیل است که باید از خوانندگان کد QR ایمن استفاده کنید.

سیستم عامل دستگاه تلفن همراه خود را به روز نگه دارید و از یک برنامه کاربردی برای خواندن ایمن کدهای QR استفاده کنید. بسیاری از دستگاه های تلفن همراه مدرن دارای یک خواننده کد QR داخلی در دوربین خود هستند. با این حال، داشتن یک برنامه کد QR در دستگاه تلفن همراه که به کاربران اجازه می دهد قبل از مراجعه به URL آن را بررسی کنند، به آنها این امکان را می دهد که منبع URL را که می خواهند به آن دسترسی پیدا کنند تأیید کنند. این بررسی امنیتی برای کدهای QR که هیچ گونه اطلاعات همراهی را ارائه نمی دهند امکان پذیر نیست. بنابراین، همه برنامه‌های کدخوان QR موظفند قبل از باز کردن پیوند و درخواست تأیید، URL رمزگشایی شده را به کاربر نمایش دهند.

نرم افزار تولید کد QR را بررسی کنید

اعتبار سنجی مولد کد QR و آزمایش یکپارچگی داده ها به عنوان معیاری در برابر تقلب احتمالی، تزریق SQL و حملات تزریق فرمان عمل می کند. استانداردسازی و ادغام امضاهای دیجیتال برای احراز هویت کد QR و بررسی اینکه آیا کد QR تغییر کرده است یا خیر، مهم است. امضای دیجیتال به طور قابل توجهی حملات مبتنی بر کد QR را پیچیده می‌کند، زیرا از مهاجم می‌خواهد تا چک‌سام را اصلاح کند و در نتیجه فرآیند تأیید را تغییر دهد.

شما نباید به مولدهای کد QR متعددی که می توانید در اینترنت پیدا کنید تکیه کنید. به فناوری و شرکت پشت این ژنراتورها توجه کنید.

مراقب URL های ناامن باشید

هدایت مجدد بازدیدکنندگان به URL های نامعتبر یکی از محبوب ترین حملات کد QR است که ممکن است منجر به تلاش های فیشینگ و انتقال نرم افزارهای مخرب مانند ویروس ها، کرم ها و تروجان ها شود. برای اطمینان از قابلیت اطمینان مطالب آنلاین در برابر چنین حملاتی، اعتبارسنجی مشروعیت محتوا با تعیین اینکه آیا برنامه خواننده کد QR می تواند بین URL های جعلی و واقعی تمایز قائل شود، بسیار مهم است.

مراقب کدهای اجرایی باشید

برای جلوگیری از دسترسی کدهای اجرایی یا دستورات اسکن شده توسط کد QR به منابع دستگاه اسکن، باید محتوای کد QR را ایزوله کرد. جداسازی محتوا می تواند به جلوگیری از حملاتی مانند نقض حریم خصوصی، دسترسی به اطلاعات شخصی و استفاده از دستگاه اسکن برای حملاتی مانند DDoS و Botnets کمک کند. ساده ترین روش مسدود کردن دسترسی برنامه ها، از جمله برنامه های اسکن کد QR، به منابع دستگاه اسکن (مانند دوربین، دفترچه تلفن، عکس ها، اطلاعات مکان و غیره) است.

از کدهای QR اما با دقت استفاده کنید

با گسترش سریع فناوری، کدهای QR به بخشی از زندگی روزمره ما تبدیل شده اند. شما می‌توانید خطرات مرتبط با کدهای QR را با استفاده عاقلانه از آن‌ها و اقدامات لازم کاهش دهید.

هنگام اسکن کدهای QR که در اینترنت یا در محیط واقعی با آنها مواجه می شوید، احتیاط کنید. از برنامه های معتبر استفاده کنید و دستگاه های خود را با نرم افزار آنتی ویروس به روز محافظت کنید. همچنین ایده خوبی است که کدهای QR را از سایت های مشکوک یا غیرقابل اعتماد اسکن نکنید و اطلاعات شخصی خود را ارائه نکنید.

منبع مقاله