您可能已經見過數千次 QR 程式碼,從地鐵廣告到郵件中的優惠券傳單,再到超市中的產品。它們看起來像郵票大小的條形碼,是由小的黑白矩形和正方形組成的網格,通常在角落裡有較大的黑色正方形。
這些微小的影像是營銷人員夢寐以求的,它們能夠將大量資料直接儲存和傳輸到感興趣的客戶的智慧手機上。當人們用智慧手機掃描 QR 程式碼時,該程式碼可以執行許多操作,包括將使用者直接帶到產品的網站。
關於支援科學新聞報道
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道 訂閱。透過購買訂閱,您將幫助確保有關當今塑造我們世界的發現和想法的具有影響力的故事的未來。
但像任何技術一樣,它們也可能被操縱來反噬餵養它們的手——或手機。在移動安全部落格 Kaotico Neutral 上,研究員奧古斯托·佩雷拉演示瞭如何將這些看似無害的 QR 程式碼變成網路犯罪武器。
在他的概念驗證駭客攻擊中,佩雷拉使用免費線上程式碼生成器建立了一個 QR 程式碼,並在其中嵌入了一個名為 evilsite.dyndns.org 的攻擊伺服器的 URL。當目標智慧手機掃描該程式碼時,瀏覽器被定向到該欺騙網站並被注入惡意軟體。
QR 程式碼因其便利性而受到吹捧,但佩雷拉認為,正是這種便利性——加上它們日益普及——可能使它們成為 危險的攻擊媒介。流行的 QR 程式碼掃描軟體,例如 ScanLife,會自動將移動瀏覽器帶到嵌入在程式碼中的網站,雖然這使得過程很快捷,但對安全性沒有任何作用。
佩雷拉寫道:“這是一個嚴重的問題,因為這相當於閉著眼睛點選連結。”
安全公司 卡巴斯基實驗室 的研究員蒂姆·阿姆斯特朗表示,這種簡化的過程創造了一種“先執行,後提問”的心態,這有利於攻擊者。
佩雷拉說,像他這樣的攻擊很容易擴大規模,只需打印出被篡改的 QR 程式碼,並將它們貼上到公共場所海報上已有的程式碼之上。
隨著公司和營銷人員利用移動裝置的強大功能和普及性,並且消費者越來越容易透過 智慧手機進行金融交易,研究人員懷疑線上攻擊者將試圖在市場中獲得自己的立足點。
© 2011 TechMediaNetwork.com。版權所有。