您可能已经见过数千次 QR 代码,从地铁广告到邮件中的优惠券传单,再到超市中的产品。它们看起来像邮票大小的条形码,是由小的黑白矩形和正方形组成的网格,通常在角落里有较大的黑色正方形。
这些微小的图像是营销人员梦寐以求的,它们能够将大量数据直接存储和传输到感兴趣的客户的智能手机上。当人们用智能手机扫描 QR 代码时,该代码可以执行许多操作,包括将用户直接带到产品的网站。
关于支持科学新闻报道
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道 订阅。通过购买订阅,您将帮助确保有关当今塑造我们世界的发现和想法的具有影响力的故事的未来。
但像任何技术一样,它们也可能被操纵来反噬喂养它们的手——或手机。在移动安全博客 Kaotico Neutral 上,研究员奥古斯托·佩雷拉演示了如何将这些看似无害的 QR 代码变成网络犯罪武器。
在他的概念验证黑客攻击中,佩雷拉使用免费在线代码生成器创建了一个 QR 代码,并在其中嵌入了一个名为 evilsite.dyndns.org 的攻击服务器的 URL。当目标智能手机扫描该代码时,浏览器被定向到该欺骗网站并被注入恶意软件。
QR 代码因其便利性而受到吹捧,但佩雷拉认为,正是这种便利性——加上它们日益普及——可能使它们成为 危险的攻击媒介。流行的 QR 代码扫描软件,例如 ScanLife,会自动将移动浏览器带到嵌入在代码中的网站,虽然这使得过程很快捷,但对安全性没有任何作用。
佩雷拉写道:“这是一个严重的问题,因为这相当于闭着眼睛点击链接。”
安全公司 卡巴斯基实验室 的研究员蒂姆·阿姆斯特朗表示,这种简化的过程创造了一种“先运行,后提问”的心态,这有利于攻击者。
佩雷拉说,像他这样的攻击很容易扩大规模,只需打印出被篡改的 QR 代码,并将它们粘贴到公共场所海报上已有的代码之上。
随着公司和营销人员利用移动设备的强大功能和普及性,并且消费者越来越容易通过 智能手机进行金融交易,研究人员怀疑在线攻击者将试图在市场中获得自己的立足点。
© 2011 TechMediaNetwork.com。版权所有。