Hvad er Qrljacking, og hvordan kan du forhindre det?
QR-koder eller Quick Response-koder er ret seje. De kan bruges til at kode stort set alt alfanumerisk og digitalt. Plus de ser lidt futuristiske ud. QR-koder er en teknisk forbedring af stregkoder (X-akse – venstre mod højre). Mens stregkoder betragtes som endimensionelle, er QR-koder todimensionelle (X- og Y-akser - venstre mod højre og top til bund). QR-koder kan gemme op til 7089 cifre eller 4296 tegn. Dette inkluderer tegnsætningstegn og specialtegn. Så QR-koder kan også bruges til at kode ord, sætninger, internet-URL'er og loginoplysninger.
Men for al deres bekvemmelighed er QRL-koder også en onlineangrebsvektor. Indtast QRLjacking.
QR-kode historie
QR-koder blev skabt af en japansk produktionsvirksomhed kaldet tæt bølge . Virksomheden havde brug for et bedre kodesystem, der kunne håndtere flere data (i stand til at kode flere tegn) end traditionelle stregkoder. Virksomheden havde brug for dette for at kunne spore det stigende antal køretøjer og dele, som det fremstillede. Denso Wave-medarbejder, Masahiro Hara, udviklede sammen med et team på to kolleger, hvad vi nu kender som QR-koder. QR-koder har været tilgængelige siden 1994.
Hvad er QRL'er?
QRL'er, eller Quick Response Code Login, er et alternativ til adgangskodebaseret godkendelse. QRL'er giver brugerne mulighed for at logge ind på deres konti ved at scanne (tage et billede) en QR-kode, som har kodet brugerens loginoplysninger. Så ja, det betyder, at du har brug for en enhed udstyret med et kamera, der er i stand til at fortolke QR-koder. Men de fleste smartphones og computere, du køber i dag, har den funktionalitet indbygget.
QRL, eller Quick Response Code Login, dukkede op som en måde at overvinde to af de vigtigste klagepunkter, der påvirker traditionelle password-baserede logins.
- Adgangskode træthed:Med antallet af onlinetjenester, der vokser på daglig basis, bliver det hurtigt uoverskueligt at bede en bruger om at finde på og huske en sikker adgangskode til hver af deres konti. Så folk ender med at genbruge de samme adgangskoder til flere websteder/tjenester. Det er en meget dårlig idé af mange grunde. Nemlig fordi hvis en adgangskode, du bruger til mange tjenester, nogensinde bliver kompromitteret, er din konto for alle disse tjenester kompromitteret. Det multiplicerer effektivt skaden med antallet af websteder/tjenester, der deler denne adgangskode. For mere information kan du læse vores dedikerede artikel om genbrug af adgangskoder.
- Gentag angreb:Traditionelle adgangskodebaserede legitimationsoplysninger er sårbare over for genafspilningsangreb. Et replay-angreb er en type mand-i-midten angreb , hvor overførslen af legitime data (f.eks. en brugers login-legitimationsoplysninger) forsinkes og opsnappes af angriberen, som derefter gentransmitterer de opsnappede data for at efterligne den faktiske bruger og potentielt stjæle deres data. Fordi QRL'er ændres med hvert loginforsøg, lukker det døren for disse typer angreb.
Men det betyder på ingen måde, at QRL'er er usårlige, som vi vil se.
Hvad er QRLjacking?
QRLjacking er et onlineangreb, der består i at narre en intetanende bruger til at scanne den QRL, som angriberen har leveret, i stedet for den faktiske QRL, der er udstedt af tjenesteudbyderen. Når brugeren scanner den ondsindede QRL, får angriberen adgang til brugerens konto, og der sker dårlige ting.
QRLjacking kræver, ligesom mange onlineangreb, en form for social engineering for at narre offeret til at scanne det kompromitterede QRL.
Her er et eksempel på et typisk QRLjacking-angreb:
- Angriberen starter en QR-session på klientsiden for den pågældende hjemmeside/tjeneste.
- Angriberen kloner derefter Login QR-koden til en falsk login-side, der tæt efterligner en legitim onlinetjeneste. De QR-koder, den viser, er gyldige og opdateres regelmæssigt.
- Ved hjælp af en form for social engineering sender angriberen den falske side til offeret. Dette kan være en e-mail med en URL, et Facebook-opslag, endda en tekstbesked, uanset hvad, så længe det narrer offeret til at klikke på linket.
- Brugeren scanner den ondsindede QRL med den mobilapplikation, som QRL er lavet til.
- Angriberen får adgang til ofrets konto, og onlinetjenesten er ikke desto klogere, da den deler brugerens data med angriberen.
QRLjacking-angreb fra den virkelige verden
I april 2019, OWASP.org , Open Web Application Security Project, skabte en GitHub-depot hosting af softwareværktøjer til at udføre QRLjacking-angreb, komplet med instruktioner og en Wiki. Sikkerhedsforskere poster nogle gange 'grimme' ting til forskningsformål.
På GitHub-siden viser OWASP de onlinetjenester, der i april 2019 var kendt for at være sårbare over for QRLjacking-angreb. Jeg har gengivet listen nedenfor. Nogle af de onlinetjenester, der lavede OWASPs liste, kan overraske dig.
De fleste af disse tjenester er kinesiske eller russiske, hvor QR-koder er meget mere almindelige.
Chat-applikationer
- Linje
- QQ Instant Messaging
Posttjenester
- QQ Mail (Personlig og Business Corporate),
- Yandex Mail
e-handel
- Ali Baba
- Aliexpress
- Taobao
- Tmall
- 1688.com
- ikke modtager
- Taobao ture
Netbank
- AliPay
- Yandex penge
- TenPay
Pastjenester
- Yandex-pas (Yandex Mail, Yandex Money, Yandex Maps, Yandex-videoer, osv...)
Mobile Management Software
- Airdroid
Andre tjenester
- MyDigiPass
- Zapper & Zapper WordPress Login med QR Code plugin
- Trustly App
- Yellowphone
- Alibaba Yunos
Afbødende QRLjacking-angreb
Der er ikke meget brugere kan gøre for at beskytte mod QRLjacking-angreb ud over slet ikke at bruge QRL'er. Faktisk er det OWASPs anbefaling nummer ét til at afbøde QRLjacking.
Ud over det er der et par foranstaltninger, som webstedsadministratorer kan tage for at minimere angrebsoverfladen. Selvom de også bør stoppe med at bruge det som et middel til at autentificere deres brugere. Men hvis du skal bruge QRL'er, er her et par sikkerhedstip.
Bekræftelsesmail/SMS
Hjemmesiden/tjenesten sender en bekræftelses-e-mail eller SMS-besked til brugeren, efter at vedkommende har logget på med QRL. På den måde kan brugeren fastslå, at noget er galt, hvis de ikke modtager bekræftelsesmeddelelsen.
Begrænsede IP-adresser
At begrænse de IP-adresser, der kan bruge QRL, er en anden måde at afbøde QRLjacking-angreb. Brugeren skal anmode om QRL fra webstedet/tjenesten, så tjenesten kender deres IP-adresse på dette tidspunkt. Dette ville blokere godkendelsesanmodningen fra angriberens server. Der er dog måder, en angriber kan spoof deres IP-adresse og potentielt omgå denne sikkerhedsforanstaltning.
Begrænset placering
I lighed med ovenstående ville en anden afbødende foranstaltning være at begrænse de lokationer, hvorfra godkendelsesanmodninger accepteres. Fordi hjemmesiden/tjenesten uundgåeligt kender brugerens IP-adresse, kender den også deres generelle placering. Selvom det ikke er idiotsikkert, kan dette forhindre en godkendelsesanmodning fra angriberen, så længe den ondsindede server ikke er på samme generelle placering som offeret.
Men igen, det er relativt upraktiske afværgeforanstaltninger. Og ingen af dem er sølvkugler. Nummer et er teoretisk. Nummer to er ikke så svær at omgå. Og nummer tre vil ikke fungere, hvis angriberens server er på samme generelle placering som offeret.
Så den bedste afhjælpning er slet ikke at bruge QRL'er.
Hvis du som bruger skal bruge QRL'er, er her nogle sunde fornuftsråd, der kan hjælpe dig. Det er ting, du bør gøre alligevel. Ikke kun i en kontekst, hvor du forsøger at forsvare dig mod QRLjacking.
- Brug en firewall – Alle større operativsystemer har en indbygget indgående firewall, og alle kommercielle routere på markedet har en indbygget NAT-firewall. Sørg for, at disse er aktiveret, da de kan beskytte dig i tilfælde af, at du klikker på et ondsindet link.
- Hvis din webbrowser viser en advarsel om et websted, du forsøger at få adgang til, eller dets SSL-certifikat, skal du være opmærksom og navigere væk fra det websted.
- Klik ikke på links eller vedhæftede filer i e-mails, medmindre du ved præcis, hvem der sendte det, og hvad det er.
Konklusion
Sikkerhed og bekvemmelighed er i en konstant balancegang. Internet for masserne kræver begge dele, men ligevægten er svær at finde. Men nogle gange er bekvemmeligheden overdrevet. For eksempel, er QRL'er så meget mere bekvemme end engangsadgangskoder (OTP)? Tænk over det, du skal stadig trække din telefon ud, starte kamera-appen og tage et billede. Er det så meget mere praktisk end at åbne en OTP-app og kopiere og indsætte den? Det er jeg ikke sikker på. Og er vi nu bare så 'internet-dovne', at et ekstra swipe eller to bliver en dealbreaker?
Selvom bekvemmelighed kan være praktisk (god sandhed, ikke?), er det ikke altid sikkert. Og selvom internettet kan vise os en masse sjove og interessante ting, så glem aldrig, at internettet er et fjendtligt sted uden mangel på enkeltpersoner og organisationer, der vil have en del af dig. Så brug ikke QRL'er - i det mindste til dine vigtigere onlinekonti. Og selvom det måske ikke er så praktisk som din webbrowsers automatiske login-funktion, vil OTP'er, selvom de ikke er perfekte, give meget bedre sikkerhed end QRL'er. Et lille fald i bekvemmelighed giver ofte vigtige sikkerhedsgevinster.