Morey Haber.Член Совета Forbes.Технический директор и CISO в BeyondTrust, курирующие технологию компании для решений привилегированного удаленного доступа и управления уязвимостями. 1 июня 2020 https://www.forbes.com/sites/forbestechcouncil/2020/06/01/i-dont-scan-qr-codes-and-neither-should-you/ Переведено : Яндекс - переводчик Я не сканирую QR-коды, и вам тоже не следует этого делать, особенно если вы заботитесь о кибербезопасности.

QR-код - это двумерный штрих-код, который можно прочитать с помощью смартфона с камерой или мобильного устройства с аналогичной технологией визуального сканирования. Это позволяет закодированному изображению содержать более 4000 символов в сокращенном машиночитаемом формате и было разработано как быстрый метод использования статического контента в зависимости от конкретной задачи. Как только программа генерирует статический QR-код (в отличие от динамического QR-кода, который может изменять поля, такие как URL), этот код нельзя изменить для выполнения другой функции. Удивительно, но это не является источником риска кибербезопасности даже для динамических QR-кодов. Риск заключается в самом контенте, который был сгенерирован и потенциально показан для сканирования ничего не подозревающим пользователем. Как только они это сделают, это может стать прелюдией к атаке. Чтобы погрузиться немного глубже, QR-код может содержать следующие риски: Контактные данные: QR-код похож на виртуальную визитную карточку или VCD-файл, который содержит все ваши контактные данные, такие как номер телефона, адрес электронной почты и информацию о почтовой отправке. Эта информация автоматически сохраняется в списке контактов устройства при сканировании. Если данные являются вредоносными, они могут запустить эксплойт на устройстве или разместить в вашем телефоне мошенническую запись о вашей любимой авиакомпании или кредитной карте. Телефон: Сканирование QR-кода автоматически загружает или запускает телефонный звонок на заранее определенный номер. Учитывая все недавние атаки с роботизированными звонками и взломом SIM-карты, это еще один способ для злоумышленника получить доступ к вашему телефону и удостоверению личности. По сути, вы звоните кому-то, кого не знаете, и передаете информацию о своем идентификаторе вызывающего абонента. SMS: Сканирование QR-кода инициирует отправку текстового сообщения с заранее определенным контактом по имени, адресу электронной почты или номеру телефона. Единственное, что нужно сделать пользователю, это нажать "Отправить", и вы потенциально можете выдать себя субъекту угрозы для SMS-спам-атак или спровоцировать начало атаки с использованием SIM-карты. Небольшая социальная инженерия - это все, что требуется, чтобы убедить пользователя нажать кнопку отправки Текст: При сканировании QR-кода обнаруживается небольшое количество текста в коде. Хотя это кажется маловероятным, QR-коды недоступны для чтения человеком, и пока вы не отсканируете один из них, вы понятия не имеете, что содержимое на самом деле является просто текстовым сообщением. Электронная почта: При сканировании QR-кода сохраняется полное сообщение электронной почты со строкой темы и получателем. Все, что требуется, это нажать отправить, и это может быть началом любой формы фишинговой атаки. Субъект угрозы знает ваш адрес электронной почты, потому что вы подтвердили его, нажав отправить неизвестному адресату. Координаты местоположения: Сканирование QR-кода автоматически отправляет координаты вашего местоположения в приложение с поддержкой геолокации. Если вы беспокоитесь о конфиденциальности своих данных и местоположении, зачем вам вообще это делать? Веб-сайт или URL: Сканирование QR-кода может автоматически запустить и перенаправить вас на веб-сайт. Содержимое может содержать вредоносное ПО, эксплойт или другой нежелательный контент. Событие календаря: Сканирование QR-кода автоматически добавляет событие в календарь устройства с возможностью напоминания. Помимо уязвимости в приложении local calendar, содержимое может быть нежелательным в деловом или личном календаре, а удаление повторяющейся встречи вызывает раздражение, если она была введена неправильно. Профиль в социальных сетях: Сканирование этого типа QR-кода инициирует “подписку” на определенный профиль на таких сайтах, как Instagram или Twitter, используя личный профиль сканера. В зависимости от платформы социальных сетей, учетная запись, на которую вы подписаны, может иметь доступ к вашей личной информации и знать, что вы подписаны на них. Сеть Wi-Fi: В этом QR-коде хранятся учетные данные Wi-Fi для автоматического подключения к сети и аутентификации. Если учесть все угрозы открытых сетей Wi-Fi и даже закрытых сетей, использующих WPA2, внесение неизвестной или небезопасной сети в ваш список предпочтений - просто плохая идея. Aрp Store: Сканирование ссылок на страницу непосредственно в App Store может упростить загрузку приложения. Хотя это удобно, список может быть вредоносным (особенно на устройствах Android) или представлять собой поддельную страницу, использующую встроенный URL-адрес, чтобы обманом заставить вас загрузить несанкционированное вредоносное приложение. Лучше всего всегда переходить к приложению самостоятельно, а не полагаться на горячую ссылку Наконец, давайте обратимся к динамическим QR-кодам. Эти коды генерируются один раз, но хранящиеся в них данные можно отредактировать в любое время позже. Они могут включать защиту паролем и встроенную аналитику, чтобы создатели могли отслеживать, как они используются. Динамические QR-коды могут даже добавлять простую логику, такую как перенаправление на основе устройства, чтобы отличать поведение устройств Apple iOS от Google или Android. Например, в зависимости от устройства они могут быть перенаправлены в соответствующий App Store или музыкальную библиотеку. Одно это позволяет субъекту угрозы нацеливать эксплойты устройств и приложений на определенные ресурсы, чтобы обеспечить более высокий процент успеха. Если вы когда-нибудь выйдете из дома и увидите QR-код на стене, здании, экране компьютера или даже на визитной карточке, не сканируйте его. Злоумышленник может легко вставить свой вредоносный QR-код поверх реального и создать свои собственные копии, и, судя по внешнему виду, вы понятия не имеете, является ли содержимое безопасным или вредоносным. С этой целью я никогда не сканирую QR-коды, и вы тоже не должны этого делать.