Сегодня коды Quick Response (QR) можно встретить почти повсеместно в наружной и печатной рекламе: если снять черный квадратный штрих-код смартфоном, он мгновенно переходит по зашифрованной в коде ссылке.
В то время как рекламщики начинают осваивать QR-коды, потребители, сканирующие их, неосознанно подвергаются опасности: а что, если штрихкод приведет ваш смартфон на сайт, зараженный вредоносной программой для iOS, Android или другой мобильной операционной системы, и установит троянец, который будет работать в фоновом режиме и отправлять ваши пароли своим создателям?
Это вполне вероятный сценарий, считает Скотт Маккиннел, менеджер Check Point Software Technologies: «Есть свидетельства того, что авторы приложений, сканирующих QR-коды, не заботятся о безопасности». По его сведениям, в большинстве штрихкодов не используется шифрование и в последнее время набирает обороты практика распечатки стикеров с QR-кодами, ведущими на вредоносные сайты, и расклейки их поверх легитимных кодов.
QR-коды, размещенные в общественных местах, обычно легко незаметно заклеить поддельными. Поскольку потребители, как правило, не думают о безопасности при сканировании QR-кодов, со временем этот вид атаки неизбежно станет более распространенным.
«Это вполне реальная угроза, — полагает Маккиннел. — Например, хакер может считать QR-код и немного изменить закодированный URL, добавив к нему эксплойт. С помощью вредоносного QR-кода можно установить на смартфон жертвы программу, которая будет отправлять SMS на ‘короткие’ номера с перечислением оплаты в пользу атакующих. По сравнению со сложнейшими векторами атак на обычных компьютерах взлом через QR-код выглядит не таким уж трудным делом. Ничего сложного нет в том, чтобы добавить в адрес посторонние элементы, например команды, которые установят на смартфон вирус, соединят его с удаленным компьютером или вызовут переполнение буфера».
Любой антивирус для мобильных устройств или система фильтрации адресов способны предотвратить заход по вредоносной ссылке, однако на большинстве смартфонов они не используются. Первой линией обороны могли бы стать сами приложения, считывающие QR-код, однако лишь в немногих из них реализованы соответствующие средства безопасности.
Решения безопасности для смартфонов и планшетов продолжают развиваться, но в ближайшей перспективе основную роль в предотвращении заражений через QR-коды должно сыграть просвещение пользователей. Многие знают, что не стоит бездумно переходить по ссылке, присланной по электронной почте, но ввиду относительной новизны QR-кодов большинство вряд ли будет столь же осторожно при их сканировании.
«Люди часто идут по пути наименьшего сопротивления, так что, если им предлагают скидку за заход по QR-коду, они, конечно, не откажутся, — полагает Маккиннел. — Если код размещен в хорошо известном издании и принадлежит известному бренду, никакой опасности, скорее всего, нет. Но если бренд вам незнаком или вы впервые видите постер с кодом, зачем заходить по такой ссылке? Вредоносные QR-коды — еще одна проблема безопасности на смартфонах вдобавок ко множеству других. Ее необходимо иметь в виду, и в конечном итоге главное средство защиты — это ваш собственный здравый смысл».