【发布时间】:2012-05-18 21:08:11
【问题描述】:
我阅读了几篇关于此的文章(例如,How QR Codes can Deliver Malware),它似乎引起了轰动。
根据我的阅读,所有所谓的“恶意软件”都是指向恶意网站或应用程序的链接。我的问题是:还有其他形式的二维码恶意软件吗?如果不是,那么这种恶意软件有什么新变化?
【问题讨论】:
-
文章标题具有误导性。我会说它“二维码如何让用户访问网页并因其自身的轻信性而被骗”。
【发布时间】:2012-05-18 21:08:11
【问题描述】:
QR 码的最大有效载荷约为 4K,因此 QR 扫描仪不会出现缓冲区溢出或类似情况。
但是,它们可用于以几种有趣的方式将人们引导至恶意内容。
- 您知道访问链接的计算机很可能是移动设备。如果您有针对 iPhone 的浏览器漏洞利用 - 您可以在用户访问网页后交付它。
-
使用很长的 URL,您可能会欺骗用户以为他们正在访问一个“安全”的网站。如果 QR 扫描仪只显示 URL 的前 20 个字符,您可以制作一个 QR,它会转到
https://www.VerySafeSite.com.evilsite.com - 虽然扫描器可能不易受缓冲区溢出的影响,但地址簿可能会。因此,制作具有异常长字段的 vCard 可能会为攻击提供载体 - 尽管这种可能性极小。
- 贴纸攻击是可能的。犯罪分子可以找到带有合法二维码的海报,并在上面贴上二维码贴纸。这可能会诱使人们进行扫描。
因此,基本上,恶意二维码几乎是不可能的——只有恶意目的地。
【讨论】:
-
对于vCard,用户看到超长的字段不会起疑吗?是否可以使用隐藏/不可见字段来利用地址簿应用程序中的漏洞? “贴纸攻击”的例子很有趣。是否报告过此类攻击的案例?
-
我在我的博客 shkspr.mobi/blog/index.php/2011/12/how-to-prevent-qr-hijacking 上记录了一次贴纸攻击
二维码本身不可执行且不包含可执行数据,因此仅读取一个应该是安全的。正如@Blender 所说,它们当然可以链接到恶意软件,但它们本身并不是恶意的。
【讨论】:
你是对的,我看到的所有二维码恶意软件都只是指向恶意网站或应用程序的链接。
二维码可以包含链接以外的数据,例如纯文本、联系信息 (VCARD) 或事件信息 (VCALENDAR)。它甚至可以包含原始数据,理论上可以包含可执行代码,但大多数二维码阅读器软件可能会忽略这类代码,因为它不知道如何处理嵌入的数据。
【讨论】:
当二维码用于销售终端时,可能会利用应用程序及其用户,但这需要对应用程序有深入的了解。如果它们只包含一个 URL,那么它与以任何其他方式打开相同的 URL 相同。
【讨论】: