Co je to Qrljacking a jak mu můžete zabránit?
QR kódy nebo kódy rychlé reakce jsou docela fajn. Mohou být použity ke kódování v podstatě všech věcí alfanumerických a digitálních. Navíc vypadají tak nějak futuristicky. QR kódy jsou technickým vylepšením čárových kódů (osa X – zleva doprava). Zatímco čárové kódy jsou považovány za jednorozměrné, QR kódy jsou dvourozměrné (osy X a Y – zleva doprava a shora dolů). QR kódy mohou uložit až 7089 číslic nebo 4296 znaků. To zahrnuje interpunkční znaménka a speciální znaky. QR kódy lze tedy použít také ke kódování slov, frází, internetových adres URL a přihlašovacích údajů.
Ale pro jejich pohodlí jsou QRL kódy také vektorem online útoku. Zadejte QRLjacking.
Historie QR kódu
QR kódy byly vytvořeny japonskou výrobní společností tzv hustá vlna . Společnost potřebovala lepší kódovací systém, který by dokázal zpracovat více dat (schopný zakódovat více znaků) než tradiční čárové kódy. Společnost to potřebovala, aby mohla sledovat rostoucí počet vozidel a dílů, které vyráběla. Zaměstnanec Denso Wave, Masahiro Hara, s týmem dvou kolegů vyvinul to, co nyní známe jako QR kódy. QR kódy jsou dostupné od roku 1994.
Co jsou QRL?
Alternativou k autentizaci založené na heslech jsou QRL neboli Quick Response Code Login. QRL umožňují uživatelům přihlásit se ke svým účtům naskenováním (vyfotografováním) QR kódu, který zakódoval přihlašovací údaje uživatele. Takže ano, to znamená, že potřebujete zařízení vybavené fotoaparátem, který je schopen interpretovat QR kódy. Ale většina smartphonů a počítačů, které si dnes koupíte, má tuto funkci vestavěnou.
QRL, neboli Quick Response Code Login, se objevil jako způsob, jak překonat dvě hlavní nepříjemnosti ovlivňující tradiční přihlašování pomocí hesla.
- Únava hesla:Vzhledem k tomu, že počet online služeb každým dnem roste, žádat uživatele, aby vymyslel a zapamatoval si bezpečné heslo pro každý ze svých účtů, se rychle stává nezvládnutelným. Lidé tedy nakonec znovu použijí stejná hesla pro více webů/služeb. To je velmi špatný nápad z mnoha důvodů. Konkrétně proto, že pokud dojde k prolomení hesla, které používáte pro mnoho služeb, bude ohrožen váš účet pro všechny tyto služby. To efektivně násobí škody počtem stránek/služeb, které toto heslo sdílejí. Další informace naleznete v našem vyhrazeném článku o opětovném použití hesel.
- Přehrát útoky:Tradiční přihlašovací údaje založené na heslech jsou zranitelné vůči útokům opakovaného přehrávání. Replay útok je typ muž-in-the-middle útok , ve kterém je přenos legitimních dat (například přihlašovacích údajů uživatele) zdržen a zachycen útočníkem, který poté zachycená data znovu přenese, aby se mohl vydávat za skutečného uživatele a případně ukrást jeho data. Vzhledem k tomu, že se QRL mění s každým pokusem o přihlášení, zavírá se tím dveře těmto typům útoků.
Ale to v žádném případě neznamená, že QRL jsou nezranitelná, jak uvidíme.
Co je QRLjacking?
QRLjacking je online útok, který spočívá v oklamání nic netušícího uživatele, aby naskenoval QRL poskytnuté útočníkem namísto skutečného QRL vydaného poskytovatelem služeb. Jakmile uživatel naskenuje škodlivý QRL, útočník získá přístup k účtu uživatele a stanou se špatné věci.
QRLjacking, stejně jako mnoho online útoků, vyžaduje určitou formu sociálního inženýrství, aby oběť oklamala, aby naskenovala kompromitovaný QRL.
Zde je příklad typického útoku QRLjacking:
- Útočník zahájí relaci QR na straně klienta pro daný web/službu.
- Útočník poté naklonuje přihlašovací QR kód na falešnou přihlašovací stránku, která přesně napodobuje legitimní online službu. QR kódy, které zobrazuje, jsou platné a pravidelně aktualizované.
- Pomocí určité formy sociálního inženýrství útočník pošle falešnou stránku oběti. Může to být e-mail s adresou URL, příspěvek na Facebooku, dokonce i textová zpráva, cokoliv, pokud oběť přiměje kliknout na odkaz.
- Uživatel skenuje škodlivé QRL pomocí mobilní aplikace, pro kterou byl QRL vytvořen.
- Útočník získá přístup k účtu oběti a online služba není o nic moudřejší, protože sdílí data uživatele s útočníkem.
Útoky QRLjacking v reálném světě
V dubnu 2019 OWASP.org , The Open Web Application Security Project, vytvořený a úložiště GitHub hostování softwarových nástrojů k provádění útoků QRLjacking, včetně pokynů a Wiki. Bezpečnostní výzkumníci někdy zveřejňují „nechutné“ věci pro výzkumné účely.
Na stránce GitHub uvádí OWASP online služby, o kterých bylo v dubnu 2019 známo, že jsou zranitelné vůči útokům QRLjacking. Níže uvedený seznam jsem reprodukoval. Některé z online služeb, které se dostaly na seznam OWASP, vás mohou překvapit.
Většina těchto služeb je čínská nebo ruská, kde jsou QR kódy mnohem běžnější.
Chatové aplikace
- Čára
- Rychlé zasílání zpráv QQ
Poštovní služby
- QQ Mail (osobní a obchodní společnosti),
- Yandex Mail
eCommerce
- Ali Baba
- Aliexpress
- Taobao
- Tmall
- 1688.com
- nepřijímá
- Výlety do Taobao
Internetové bankovnictví
- AliPay
- Peníze Yandex
- TenPay
Pasové služby
- Yandex Passport (Yandex Mail, Yandex Money, Yandex Maps, Yandex videa atd…)
Software pro správu mobilních zařízení
- Airdroid
Ostatní služby
- MyDigiPass
- Zapper & Zapper WordPress Přihlášení pomocí pluginu QR Code
- Spolehlivá aplikace
- Yellowphone
- Alibaba Yunos
Zmírnění útoků QRLjacking
Pro ochranu před útoky QRLjacking není mnoho uživatelů, kromě toho, že nepoužívají QRL vůbec. Ve skutečnosti je to doporučení číslo jedna OWASP při zmírňování QRLjackingu.
Kromě toho existuje několik opatření, která mohou správci webových stránek přijmout, aby minimalizovali plochu útoku. Měli by jej však přestat používat jako prostředek k ověřování svých uživatelů. Pokud však musíte používat QRL, zde je několik bezpečnostních tipů.
Potvrzovací email/SMS
Web/služba odešle uživateli potvrzovací e-mail nebo SMS zprávu poté, co se přihlásí pomocí QRL. Tímto způsobem by uživatel mohl zjistit, že se něco děje, pokud neobdrží potvrzovací zprávu.
Omezené IP adresy
Omezení IP adres, které mohou používat QRL, je další způsob, jak zmírnit útoky QRLjacking. Uživatel musí požádat o QRL z webu/služby, takže služba v tomto okamžiku zná jeho IP adresu. To by zablokovalo požadavek na ověření ze serveru útočníka. Existují však způsoby, jak by útočník mohl parodie jejich IP adresu a případně toto bezpečnostní opatření obejít.
Omezené umístění
Podobně jako výše by dalším zmírňujícím opatřením bylo omezení míst, ze kterých jsou přijímány požadavky na ověření. Protože web/služba nevyhnutelně zná IP adresu uživatele, zná také jeho obecnou polohu. I když to není spolehlivé, mohlo by to zmařit požadavek na ověření od útočníka, pokud se škodlivý server nenachází na stejném místě jako oběť.
Ale opět jde o poměrně nepraktická zmírňující opatření. A žádná z nich není stříbrná. Číslo jedna je teoretické. Číslo dvě není tak těžké obejít. A číslo tři nebude fungovat, pokud je server útočníka na stejném místě jako oběť.
Takže nejlepší zmírnění je nepoužívat QRL vůbec.
Pokud jako uživatel musíte používat QRL, zde je několik rad zdravého rozumu, které vám mohou pomoci. To jsou věci, které byste stejně měli dělat. Nejen v kontextu, ve kterém se snažíte bránit proti QRLjackingu.
- Používejte firewall — Všechny hlavní operační systémy mají vestavěný příchozí firewall a všechny komerční směrovače na trhu mají vestavěný firewall NAT. Ujistěte se, že jsou povoleny, protože vás mohou chránit v případě, že kliknete na škodlivý odkaz.
- Pokud váš webový prohlížeč zobrazuje varování o webu, na který se pokoušíte vstoupit, nebo jeho certifikátu SSL, zpozorněte a opusťte tento web.
- Neklikejte na odkazy nebo přílohy v e-mailech, pokud přesně nevíte, kdo je poslal a co to je.
Závěr
Bezpečnost a pohodlí jsou neustále v rovnováze. Internet pro masy vyžaduje obojí, ale je těžké najít rovnováhu. Někdy je však pohodlí přehnané. Jsou například QRL mnohem pohodlnější než jednorázová hesla (OTP)? Myslete na to, stále musíte vytáhnout telefon, spustit aplikaci fotoaparátu a vyfotit. Je to mnohem pohodlnější než otevřít aplikaci OTP a zkopírovat a vložit ji? nejsem si jistý, že ano. A jsme nyní tak 'internet-líní', že jeden nebo dva tahy navíc se stávají překážkou?
I když pohodlí může být pohodlné (hezká pravda, ne?), není to vždy bezpečné. A i když nám internet může ukázat spoustu zábavy a zajímavých věcí, nikdy nezapomínejte, že internet je nepřátelské místo, kde nechybí jednotlivci a organizace, které chtějí kousek z vás. Nepoužívejte tedy QRL – alespoň pro vaše důležitější online účty. A i když možná nejsou tak pohodlné jako funkce automatického přihlášení vašeho webového prohlížeče, jednorázová hesla, i když nejsou dokonalá, poskytnou mnohem lepší zabezpečení než QRL. Mírný pokles pohodlí často přináší důležité bezpečnostní zisky.