QR-Codes sind nun wirklich nichts Neues mehr.
Quadratisch, kryptisch, gut!
Tatsächlich haben sie längst ihren fixen Platz in unserem Alltag eingenommen:
- Tickets (Messen, Kino, ...)
- Gutscheine
- Visitenkarten
- Medien (Zeitung, TV, Werbebeilage, ...)
- ...
Um ehrlich zu sein, sind QR-Codes durchaus als Bereicherung unserer Gesellschaft anzusehen. Zumindest solange sie "gut gemeint" sind.
Genaugenommen ist es aber jedes Mal ein Sprung ins kalte Wasser, wenn man einen QR-Code einscannt, denn niemand - außer unserer Scan-App - weiß tatsächlich, was sich hinter dem QR-Code unserer Begierde versteckt.
Dennoch ist es nicht der QR-Code alleine der "böse" ist oder es zumindest sein kann, denn der QR-Code ist lediglich codierte Information. Im Endeffekt liegt es in der Hand der Applikation, die den QR-Code scannt und interpretiert, wie die codierte Information behandelt wird.
Das ganze Konzept QR-Code, zumindest so, wie es in unseren Alltag gefunden hat, ist leider der perfekte Nährboden für Angriffe auf uns und unsere Geräte (Handy, Tablett, ...). Ist Otto Normalverbraucher mittlerweile schon skeptisch, wenn da eine Email von einem Unbekannten eintrifft und klickt NICHT auf den darin enthaltenen Link - wir sind zumindest optimistisch - ist seine Neugierde beim Auffinden irgend eines QR-Codes jedoch Antrieb genug, diesen seinem QR-Code-Scanner zum Fraß vorzuwerfen.
Worst Case Szenario
Man scannt mit seinem Handy einen QR-Code ein und der entsprechende Scanner leitet ohne nachzufragen automatisch auf eine URL weiter. Der dazu verwendete Browser ist verwundbar und "fehlinterpretiert" die angebotenen Daten auf der Zielwebseite. Das Handy ist fortan kompromittiert und wir haben darüberhinaus Daten verloren, denn der Schadcode hat postwendend auch gleich noch unsere SMSen/Mails/etc. nach interessant erscheinenden Begriffen/Mustern abgegrast und die Fünde an den Angreifer gesandt. Ferner freut sich der Angreifer natürlich auch schon darauf, wenn wir das nächste Mal mit unserem Handy (irrationalerweise) Online-Banking betreiben.
Assessment von QR-Code Scannern
Nachdem wir jetzt wissen, dass unser "QR-Code-Glück" eigentlich von unseren QR-Code Scannern abhängt, stellt sich natürlich die Frage:
"Welche in diesem breitgefächerten Angebot verhalten sich vertrauenswürdig?"
Eine Ende 2011 zusammengestellte Liste vieler der zum damaligen Zeitpunkt verfügbaren QR-Code Scannern liefert dabei einen sehr guten, wenn auch nicht mehr ganz aktuellen, Überblick.
| APPLIKATION |
JAVASCRIPT |
URL |
| TapReader (TapBase LLC) |
- |
Bestätigung |
| QR+ (Alexandr Balyberdin) |
- |
Bestätigung |
| QRReader (Tap Media Ltd) |
- |
Automatischer Besuch |
| Scan (QR Code City, LLC) |
- |
Automatischer Besuch |
| RedLaser (Occipital, LLC) |
- |
Bestätigung |
| i-nigma (3GVision Ltd) |
- |
Automatischer Besuch |
| BeeTagg (connvision AG) |
- |
Bestätigung |
| QR Code Reader (ShopSavvy, Inc.) |
- |
Automatischer Besuch |
| QuickMark (SimpleAct Inc.) |
Ausführung |
Automatischer Besuch |
| QR+Emoji (Ching-Lan Huang) |
- |
Bestätigung |
| Bakodo (Dedoware Inc.) |
- |
Bestätigung |
| Optiscan (Airsource Ltd.) |
- |
Bestätigung |
| QR-Scanner (Grip’d LLC) |
- |
Bestätigung |
| quiQR (Mark Tholking) |
- |
Bestätigung |
| QR Code City (LLC) |
- |
Automatischer Besuch |
| RedLaser (eBay, Inc) |
- |
Bestätigung |
| ATTScanner |
- |
Bestätigung |
| QR Droid Private (DroidLa) |
- |
Bestätigung |
| Bakodo (iOS) |
- |
Bestätigung |
| Posted (iOS) |
Ausführung |
Bestätigung |
| NeoReader (X10 mini) |
Parsen |
Bestätigung |
(Quelle: https://appsec-labs.com/blog/security-assessment-of-mobile-qr-readers-%E2%80%93-a-comparison/)Wie man sieht fragen viele (aber eben nicht alle) vor dem Besuch einer URL den Benutzer, ob das auch so in seinem Sinne ist. Bestätigt man allerdings diese Nachfrage, geht's ab .... zumindest im besten Fall zu einer ungefährlichen Werbe-URL. Mitdenken ist also allemal - wie auch sonst - Trumpf. Wenn man sich allerdings für den falschen QR-Code Scanner entschieden hat, bietet sich dazu nicht einmal die Möglichkeit.
Bislang weitestgehend unbeleuchtet ist auch zu erwähnen, dass manche QR-Code Scanner sogar die Interpretation/Ausführung von Javascript unterstützen - Kurzes, nüchternes Statement: "Gar keine gute Idee!"
Für welchen QR-Code Scanner soll man sich also entscheiden. Nun, es sollte auf alle Fälle einer sein, der eine Bestätigung von uns einholt, bevor er sich in potentiell feindliche Gefilde begibt und KEIN Javascript interpretiert/ausführt.
Conclusio
QR-Codes sind toll, können aber auch mal böse sein. Wie viel Angriffsfläche wir bieten, liegt wie so oft bei uns selbst. Auf jeden Fall sollten wir bei der Wahl und Konfiguration unseres QR-Code Scanners Vorsicht walten lassen und diesen - wie auch all unsere anderen Applikationen - aktuell halten.
Autor: Christian Wojner