QR-Codes ein Sicherheitsrisiko?


In letzter Zeit gab es mehrere Meldungen, die dies besagten. Per QR-Code könnte zum Beispiel auf eine Website verlinkt werden, die Schadsoftware enthält. Wird der entsprechende Code dann mit einem Smartphone gescannt, so kann dieses infiziert werden.

The vuln is a lie

Das ist für mich völliger Schwachsinn. Keine Frage, so ein Szenario ist nicht unwahrscheinlich und es wird wahrscheinlich auch bereits vereinzelt so gemacht. Allerdings: Klickt man auf eine per Link-Shortener gekürzte URL, die auf eine schädliche Webseite verweist, hat man exakt das gleiche Problem, da das wirkliche Ziel nicht ersichtlich ist. Wo ist also der Unterschied zum QR-Code? Das Ganze stellt einzig dann ein Risiko dar, wenn die Adresse nach dem Einscannen nicht erst angezeigt, sondern direkt aufgerufen wird. Aber auch hier ist die Schwachstelle nicht der QR-Code selbst. Das Problem liegt in diesem Fall bei der Applikation, die unzureichende Sicherheit bietet.

There’s no patch for human stupidity

In allen anderen Fällen liegt der Fehler – wie so oft – beim Menschen. Diese Fälle wären konkret:

  1. Der Link wird angezeigt, es handelt sich um eine gekürzte URL

Hier gilt der Grundsatz: Stammt die Verlinkung aus einer vertrauenswürdigen Quelle? Wenn Nein, besser nicht öffnen. Zusätzlich kann man sich z.B. bei bitly Statistiken zu einer gekürzten URL ansehen; hier sollte dann auch die volle Adresse stehen.

  1. Der Link wird im Klartext angezeigt, die Seite ist jedoch unbekannt und hat einen merkwürdigen Namen

http://www.ichinfizieredeinsmartphonemiteinemviruswenndumichöffnest.com – Sieht es in etwa so aus, dürfte klar sein, was zu tun ist. Tut sie das nicht, kann man ja immer noch überlegen, ob der angezeigte String möglicherweise doch nichts mit den zugehörigen Angaben zu tun hat.

Was lässt sich also tun, um nicht auf so etwas hereinzufallen? Erstens eine Software installieren, die Webseiten nicht direkt aufruft, zweitens vor dem Öffnen einer Site erstmal die URL ansehen. Und drittens: Man muss ja nicht jeden Code, den man sieht, gleich scannen. Genauso verhält es sich natürlich auch, wenn der QR-Code Javascript enthält. Um nicht Opfer eines möglichen Exploits zu werden, sollte auch hier der Inhalt erst einmal angezeigt werden.

Schlussendlich lässt sich sagen, dass der Schwachpunkt nicht in der QR-Technologie selbst liegt, sondern in den betreffenden Programmen. Das ist ungefähr so, wie wenn man sagen würde: „URLs sind ein Sicherheitsrisiko, mit ihnen kann auf schädliche Seiten verwiesen werden“

Links:
Wikipedia-Eintrag

Artikel twittern

Artikel twittern

Über m4gu5

Geek/Nerd, Level 12 Paladin, Linux-User
Dieser Beitrag wurde unter Security abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu QR-Codes ein Sicherheitsrisiko?

  1. DSIW schreibt:

    Hallo Markus,
    schöner Artikel.
    Ich finde auch, dass QR-Codes wirklich keine Gefahr darstellen bzw. nicht mehr, als andere Systeme.
    Deinem letzten Vergleich stimme ich dir voll zu!

    Bsp. eines QR-Code-Scanners, der den QR-Inhalt anzeigt und open-source ist: „Barcode Scanner“ für Android.

    Gruß DSIW

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s