Codis QR maliciosos: compte amb el que escaneges


Publicat el 26 de Gener, 2012 a les 00:00


Avui dia es parla molt dels codis QR, petits requadres farcits de punts. Si els escaneges amb el teu mòbil, poden mostrar missatges, portar-te a pàgines web o indicar adreces a la teva aplicació de mapes.

Mentre un codi de barres emmagatzema com a molt deu dígits, un codi QR pot contenir més de 7.000. Ja hi ha qui els posa en el currículum, a la targeta de visita o fins i tot al cotxe.

Però un codi QR també pot ser la porta al contingut desagradable, com virus per a mòbils, pàgines de phishing i bromes de mal gust. Per evitar aquestes sorpreses, segueix els nostres consells.

Ofuscació d'enllaços, un problema inevitable

Els codis QR es van crear per emmagatzemar una gran quantitat d'informació en un espai reduït. Per a una màquina són molt més ràpids de llegir que un text normal. Per a un ésser humà, en canvi, aquesta matrius de punts són incomprensibles.

El misteri que envolta tot codi QR pot ser aprofitat per qualsevol que pretengui ofuscar una adreça web. Així, lluny de servir el seu propòsit original, l'estàndard QR es converteix en la porta d'entrada a llocs perillosos. Ja han aparegut missatges d'spam que aprofiten la curiositat que generen els codis QR per captar usuaris incauts.

Com en el cas dels enllaços web perillosos, els límits els posa únicament la imaginació. En el bloc oficial de McAffee, l'expert Jimmy Sha utilitza una imatge impactant, la d'una ruleta russa QR, per descriure el risc associat a escanejar i executar codis a l'atzar. Codi QR maliciós pot conduir, per exemple, al següent:
 • Llocs xocants (contingut pornogràfic, escatològic, macabre, etcètera)
 • Robatori de dades (pàgines de phishing: falsos formularis bancaris, xarxes socials)
 • Codi maliciós (virus en pàgines web, scripts)

És cada vegada més habitual veure exemples de vandalisme amb codis QR, en el qual cartells, senyals o qualsevol altre objecte es veu etiquetat amb codis que contenen adreces web o missatges ofensius o en tot cas no relacionats amb la situació. Hi ha fins i tot qui fa servir una mica de tippex i un retolador negre.

Desconfia dels codis QR que no tenen context

Consells per lluitar amb codis QR desconeguts

L'automatització és el principal enemic de la seguretat. Un estudi de AppSec Labs posa en evidència que la majoria d'escàners de codis QR estan pobrament preparats per fer fronts a certs tipus d'atacs. Per evitar que un evilQR (codi QR maliciós) et causi problemes, segueix aquestes recomanacions:
 • Configura el teu escàner de codis QR perquè no obri automàticament els enllaços
 • Analitza sempre l'adreça web del codi QR abans d'obrir en el navegador
 • Fixa't en el context i no escanegis codis si no saps a què fan referència
 • Desconfia de codis QR de grans dimensions que tenen pinta d'haver estat alterats

Font: OnSoftwareBlog



Aquest lloc web fa servir cookies. Si hi segueix navegant considerarem que n’està acceptant el seu ús. Més informació sobre les cookies