QR-коды оказались довольно популярным инструментом маркетинга, хотя и не все пользователи мобильных устройств знают, что это такое
QR-коды оказались довольно популярным инструментом маркетинга, хотя и не все пользователи мобильных устройств знают, что это такое

QR-коды оказались довольно популярным инструментом маркетинга, хотя и не все пользователи мобильных устройств знают, что это такое: больше половины респондентов, опрошенных недавно аналитиками компании Russell Herder, в том числе более 80% от 18 до 24 лет, сообщили, что видели QR-коды, но лишь 16% опрошенных сканировали их.

При этом каждый пятый вообще не знает, что такое QR-код. Примерно такая же доля, 22%, компаний из перечня Fortune 50 экспериментируют с применением QR-кодов в маркетинге, и небезуспешно: исследование, проведенное ComScore, свидетельствует о том, что только в июне 2011 года QR-коды сканировали 14 млн жителей США.

В то время как рекламщики начинают осваивать QR-коды, потребители, сканирующие их, неосознанно подвергаются опасности: а что, если штрихкод приведет ваш смартфон на сайт, зараженный вредоносной программой для iOS, Android или другой мобильной операционной системы, и установит троян, который будет работать в фоновом режиме и отправлять ваши пароли своим создателям?

Это вполне вероятный сценарий, считает Скотт Маккиннел, управляющий директор Check Point Software Technologies по Австралии и Новой Зеландии: «Есть свидетельства того, что авторы приложений, сканирующих QR-коды, не заботятся о безопасности». По его сведениям, в большинстве штрих-кодов не используется шифрование, и в последнее время набирает обороты практика «боевой разметки» (attack tagging) — распечатки стикеров с QR-кодами, ведущими на вредоносные сайты, и расклейки их поверх легитимных кодов.

QR-коды, размещенные в общественных местах, обычно легко незаметно заклеить поддельными. Поскольку потребители, как правило, не думают о безопасности при сканировании QR-кодов, со временем этот вид атаки неизбежно станет более распространенным.

«Это вполне реальная угроза, — полагает Маккиннел. — Например, хакер может считать QR-код и немного изменить закодированный URL, добавив к нему эксплойт. С помощью вредоносного QR-кода можно установить на смартфон жертвы программу, которая будет отправлять SMS на 'короткие' номера с перечислением оплаты в пользу атакующих. По сравнению со сложнейшими векторами атак на обычных компьютерах взлом через QR-код выглядит не таким уж трудным делом. Ничего сложного нет в том, чтобы добавить в адрес посторонние элементы, например, команды, которые установят на смартфон вирус, соединят его с удаленным компьютером или вызовут переполнение буфера».

Объектом действия эксплойтов, пользующихся известными уязвимостями, может стать любая ОС для смартфонов, но Android-устройства оказались более подверженными вредоносным программам ввиду относительно либеральной политики Google по отношению к публикации новых приложений. Недавно в компании попытались решить эту проблему, создав сервис Bouncer, который автоматически проверяет новые приложения в Android Market на вирусы, однако хакеры успешно обходят защиту, по-прежнему заражая Android-фоны и планшеты.

Любой антивирус для мобильных устройств или система фильтрации адресов способны предотвратить заход по вредоносной ссылке, однако на большинстве смартфонов они не используются. Первой линией обороны могли бы стать сами приложения, считывающие QR-код, однако лишь в немногих из них реализованы соответствующие средства безопасности.

Решения безопасности для смартфонов и планшетов продолжают развиваться, но в ближайшей перспективе основную роль в предотвращении заражений через QR-коды должно сыграть просвещение пользователей. Проблема в том, считает Маккиннел, что сегодня большинство из них даже не поймут, что их смартфон заражен, и лишь немногие проводят хотя бы простейшие проверки, например, обращают внимание на край стикера, наклеенного поверх настоящего кода.

Многие знают, что не стоит бездумно переходить по ссылке, присланной по электронной почте, но ввиду относительной новизны QR-кодов большинство вряд ли будут столь же осторожными при их сканировании.

«Люди часто идут по пути наименьшего сопротивления, так что если им предлагают скидку за заход по QR-коду, они, конечно, не откажутся, — полагает Маккиннел. — Если код размещен в хорошо известном издании и принадлежит известному бренду, никакой опасности скорее всего нет. Но если бренд вам незнаком, или вы впервые видите постер с кодом, зачем заходить по такой ссылке? Вредоносные QR-коды — еще одна проблема безопасности на смартфонах вдобавок ко множеству других. Ее необходимо иметь ввиду, и, в конечном итоге, главное средство защиты — это ваш собственный здравый смысл».