Os códigos QR podem parecer inofensivos, mas são mais arriscados do que você pensa.
Os códigos QR são populares porque podem ser lidos rapidamente por dispositivos digitais e tornam muitas coisas mais práticas. Você pode navegar em sites, baixar arquivos e até mesmo conectar-se a redes Wi-Fi digitalizando um código QR.
Mas, infelizmente, o uso de códigos QR também apresenta possíveis problemas de segurança.
Quais são os perigos dos códigos QR?
Alguém pode usar códigos QR para atacar tanto a interação humana quanto os sistemas automatizados. Para tomar precauções, considere alguns exemplos.
Ataque de injeção SQL
SQL Injection é um vetor de ataque que os hackers usam para atacar aplicativos baseados em banco de dados. Com esse método, eles pretendem roubar os dados em um banco de dados.
Para abordar isso da perspectiva do código QR, imagine um cenário em que o software de decodificação QR se conecta a um banco de dados e usa as informações do código QR para executar uma consulta. Além disso, há um
Vulnerabilidade de injeção SQL. Nesse cenário, o leitor de código QR pode executar sua consulta sem verificar se ela vem de uma fonte autenticada. Assim, o hacker pode roubar as informações do banco de dados.Isso não é tão difícil nem complicado quanto parece. Quando você escaneia um código QR, um link é mostrado no leitor de código QR. Ao modificar os parâmetros da URL, é possível realizar ataques como injeção de SQL. A URL para a qual o scanner de código QR o redireciona pode, é claro, permitir que você execute esse vetor de ataque.
Injeção de comando
No método de injeção de comando, um invasor pode injetar um código HTML que modifica o conteúdo de uma página. Sempre que o usuário visita a página modificada, o navegador da web interpreta o código, resultando na execução de comandos maliciosos no dispositivo onde o usuário escaneia o código QR. Em outras palavras, esta é uma situação em que a entrada do código QR é usada como um parâmetro de linha de comando.
Nesse caso, um invasor pode simplesmente tirar proveito da situação alterando o código QR e executando comandos arbitrários na máquina. Um invasor pode usar esse método para implantar rootkits, spyware e ataques DoS, bem como conectar-se a uma máquina distante e obter acesso aos recursos do sistema.
Engenharia social
A engenharia social é o nome geral para a manipulação de pessoas para obter acesso não autorizado às suas informações confidenciais. Os hackers usam esse método para roubar suas informações ou invadir um sistema. Phishing é uma das táticas mais comumente usado.
Com o phishing, as pessoas visadas são forçadas a clicar ou visitar sites falsos. Os códigos QR são realmente úteis para esse trabalho porque o usuário não consegue entender para qual site ir olhando o código QR.
Imagine fazer login em um site que se pareça com um site como o Twitter e tenha um URL semelhante. Se você inserir suas informações de login aqui, confundindo-as com o Twitter, poderá perder sua conta para um hacker.
Como evitar códigos QR inseguros
No início das medidas que podem ser tomadas contra os ataques de hackers com códigos QR, a pessoa, que é o elo mais fraco da cadeia de segurança, vem em primeiro lugar. Em outras palavras, um usuário deve ser mais cuidadoso contra ataques de engenharia social e não deve escanear códigos QR cuja origem seja desconhecida. Como as pessoas não podem ler os códigos QR, pode ser difícil saber em qual confiar. É por isso que você deve usar leitores de código QR seguros.
Mantenha o sistema operacional do seu dispositivo móvel atualizado e use um aplicativo para ler os códigos QR com segurança. Muitos dispositivos móveis modernos vêm com um leitor de código QR embutido em suas câmeras. No entanto, ter um aplicativo de código QR no dispositivo móvel que permite aos usuários verificar o URL antes de visitá-lo permite que eles verifiquem a origem do URL que estão prestes a acessar. Esta verificação de segurança não é possível para códigos QR que não fornecem nenhuma informação de acompanhamento. Portanto, todos os aplicativos leitores de código QR são obrigados a exibir a URL decodificada para o usuário antes de abrir o link e solicitar sua confirmação.
Investigue o software de geração de código QR
Validando o gerador de um código QR e testar a integridade dos dados servirá como uma medida contra possíveis fraudes, injeção de SQL e ataques de injeção de comando. É importante padronizar e integrar as assinaturas digitais para autenticação do código QR e verificar se o código QR foi alterado ou não. As assinaturas digitais complicam significativamente os ataques baseados em código QR, pois exigem que o invasor modifique a soma de verificação e, assim, altere o processo de verificação.
Você não deve confiar nos inúmeros geradores de código QR que pode encontrar na internet. Preste atenção na tecnologia e na empresa por trás desses geradores.
Cuidado com URLs não seguros
Redirecionar visitantes para URLs não confiáveis é um dos ataques de código QR mais populares, o que pode levar a tentativas de phishing e à transmissão de software malicioso, como vírus, worms e trojans. Para garantir a confiabilidade do material on-line contra tais ataques, é fundamental validar o a legitimidade do conteúdo, determinando se o programa leitor de código QR pode diferenciar entre falsos e genuínos URLs.
Cuidado com códigos executáveis
Para evitar que códigos executáveis ou comandos lidos por um código QR acessem os recursos do dispositivo de leitura, é necessário isolar o conteúdo do código QR. Isolar o conteúdo pode ajudar a prevenir ataques como violação de privacidade, acesso a informações pessoais e uso do dispositivo de digitalização para ataques como DDoS e Botnets. O método mais simples é bloquear o acesso de aplicativos, incluindo aplicativos de leitura de código QR, aos recursos do dispositivo de leitura (como câmera, agenda telefônica, fotos, informações de localização, etc.).
Use códigos QR, mas com cuidado
Com a rápida expansão da tecnologia, os códigos QR tornaram-se parte de nossa vida cotidiana. Você pode reduzir os riscos relacionados aos códigos QR usando-os com sabedoria e tomando medidas.
Tenha cuidado ao digitalizar códigos QR encontrados na Internet ou em ambientes reais. Utilize programas confiáveis e mantenha seus dispositivos protegidos com software antivírus atualizado. Também é uma boa ideia não digitalizar códigos QR de sites suspeitos ou não confiáveis e não fornecer informações pessoais.
