Названы уязвимости QR-кодов

Мошенники способны зашифровать ссылку, которая приведет пользователя новой системы на липовый сайт

Квадраты QR-кодов на пропусках для передвижения по Москве и области для москвичей уже не новинка. Начальник отдела информационной безопасности крупной компании Алексей Дрозд рассказал «МК», как работает технология, легко ли ее подделать и можно ли нарисовать свой QR на бумаге.

Мошенники способны зашифровать ссылку, которая приведет пользователя новой системы на липовый сайт

- Алексей, давайте начнем по порядку. Как давно существуют QR-коды и зачем их в принципе придумали, если ранее существовали и другие способы шифрования, например штрих-коды?

QR-коды были разработаны в Японии в 1994 году. Они использовались для собственных нужд – в частности, для маркировки в автомобильной промышленности. Японцам нравилась маркировка «классическими» штрих-кодами. Не устраивало только, что в обычном штрих-коде закодировано мало информации – порядка 10 цифр.

Решить проблему удалось с помощью нового стандарта, в который помещалось гораздо больше данных. Сейчас существует четыре основных кодировки QR-кодов: цифровая, алфавитно-цифровая, байтовая и кандзи. В зависимости от вида, код несет в себе информацию на разных символах. В отличие от старого штрих-кода, который сканируют тонким лучом, QR-код определяется датчиком или камерой как двумерное изображение. В одном «кубике» кода может быть разное количество битов информации, в зависимости от того, как много вы хотите «сказать».

Популярность QR-кодов объясняется тем, что закодировать в них можно практически всё. К тому же код очень легко считать. 

- А что если «закрасить» один кубик в коде? Можно ли будет получить информацию? И можно ли нарисовать код самостоятельно просто ручкой на бумаге?

- При кодировании информации также учитывается возможное повреждение кода. Поэтому даже если «закрасить один кубик», код всё равно останется читаемым. Однако тут работает принцип, что, чем больше информации мы попытаемся уместить в QR-код, тем меньше останется места для внедрения защиты от повреждений. А нарисовать код можно, но это займет много времени и усилий. 

- То есть «сломать» такой код, сделать его нерабочим очень трудно?

- Главный недостаток QR-кодов, как ни странно звучит, заключается в человеческом факторе. Например, типичный сценарий использования QR-кодов в мире  – это онлайн-платежи и переход по гиперссылке. Работает очень просто: наводите камеру смартфона на код, смартфон декодирует его и показывает вам расшифрованное содержимое. То есть ссылку, по которой предлагается перейти. 

Главная проблема кроется в шаге № 2: QR-код можно подделать, закодировав в нем похожую гиперссылку. Например, чтобы вы перешли не на сайт moskva.ru, а на moskwa.ru. Это пример короткой ссылки, но обычно они длинные, а значит, «подделку» спрятать легче. Поэтому здесь работают те же уловки, что и в классическом фишинге (вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям – «МК»). Чаще всего именно на этом и строятся мошенничества с QR-кодами.

-Какие риски есть у горожан при использовании этой технологии?

- Что касается вопроса с использованием QR-кодов для контроля передвижения граждан - реальная схема известна лишь разработчикам. Но сделать обоснованные предположения вполне реально. Сначала разберем, как это может работать.

Человек оставляет заявку, например, на специальном сайте; если она одобрена, то генерируется уникальный QR-код, в котором «зашит» некий уникальный идентификатор. Например, ФИО, номер паспорта, номер телефона гражданина. Какие именно параметры берут для зашифровки в QR-код, повторюсь, могут знать только разработчики, которые решили его использовать. 

Затем QR-код высылается на телефон. И также остается храниться на сервере. Когда человека останавливают для проверки, то полицейский или другое должностное лицо считывает QR-код. С устройства, проверяющего запрос, отправляется запрос на сервер для подтверждения, что такой код действительно выдан конкретному гражданину. Сервер присылает ответ, что пропуск есть и действительно выдан этому человеку. Или что он не существует.

В такой системе есть и плюсы и минусы. Положительный аспект - такой проект можно быстро реализовать. Кроме того, это технологии, известные уже 25 лет. Поэтому допустить ошибки при разработке очень сложно. И, главное, всё это легко масштабировать. Для работы описанного механизма нужны только Интернет и смартфон.

Теперь о минусах. К сожалению, не все граждане пользуются Интернетом и смартфонами. К примеру, QR-коды не подойдут тем, кто использует кнопочные телефоны. Хотя и здесь есть выход: разработчики могут предусмотреть отсылку QR-кода в виде картинки на электронную почту. Или отправлять гиперссылку на код в виде SMS. В таком случае проверяющему нужно вручную ввести ссылку в своём устройстве. 

Второе - проверяют люди. А значит, страдает скорость – проверяющие становятся «бутылочным горлышком». Кроме того, есть хоть и малая, но вероятность ошибки разработчиков. Например, в том, что не все выдаваемые QR-коды уникальны. И то, собственно, о чем вы спрашивали: остается возможность для подделки. Если разработчики не позаботились о маскировке данных, то кто-то может понять принцип формирования QR-кодов, увидеть закономерности и  сгенерировать «поддельный настоящий» QR-код.

- Можно ли было в основе системы пропусков использовать что-то вместо QR-кодов?

- Теоретически да. На практике, вряд ли. Если бы была распространена и повсеместно внедрена система распознавания лиц или другой биометрии, то можно было бы внедрить пропуска на основе биометрических данных. И контролировать ситуацию автоматически. Похожие проекты сейчас только разрабатываются. Например, оплата проезда в общественном транспорте «лицом». В Минске такой проект запускают в ближайшие месяцы. Однако в реальности для такой системы нужно заранее создать инфраструктуру и собрать базу с биометрическими данными людей. Ни того, ни другого в короткие сроки в РФ сделать не получится. Именно по этой причине выбор пал на QR-коды.

Читайте также: "Как изменилась Москва после введения пропусков: рабочие протестуют, курьеры маскируются"

Сюжет:

Пандемия коронавируса

Опубликован в газете "Московский комсомолец" №28244 от 20 апреля 2020

Заголовок в газете: Когда врет QR-код

Что еще почитать

В регионах

Новости

Самое читаемое

Реклама

Автовзгляд

Womanhit

Охотники.ру