我刚开始读一点二维码,所以我对二维码的功能并不完全熟悉,但今天我的脑海里闪过一个想法。
我扫描了收到的明信片上的二维码,它立即将我带到了一个网站。
就像 URL 缩短器一样,是否有任何保护措施可以防止在 QR 码中隐藏恶意站点?
我还注意到您可以将 QR 码用于多种其他用途,例如 VCard、Youtube 视频等……
您可以嵌入代码,然后在扫描时在客户端上执行吗?
同样,我刚刚开始阅读,所以我对这项技术的理解相当薄弱,但我主要寻找的是扫描二维码潜在威胁的一些想法,以及潜在的缓解技术。
这个问题是本周的 IT 安全问题。
阅读 2012 年 5 月 4 日的博客文章了解更多详细信息或提交您自己的本周问题。
二维码只不过是数据的编码。将 URL 编码为 QR 码只是一种特定用途。正如您所说,它与 URL-shorteners 存在相同的问题,因为您可能永远不会真正知道它的去向,直到它带您到达那里。但是,任何解码器都可以在允许启动浏览器之前提供一个安全的着陆区。
由于 QR 码可以将任何数据编码到特定的最大值,因此 QR 码的使用仅受扫描它们并使用数据的应用程序的限制。这允许广泛而盲目的攻击区域。此外,解码器本身可能有多种缓冲区溢出可供利用。
缓解措施非常简单,一些二维码扫描仪已经这样做了:
不要直接访问 URL,而是将其完整显示,以便用户首先验证它。
但是,这不是用户友好的,因此这些应用程序通常只会将您直接带到网站。如果该 URL 是恶意的(这很容易——它可以将您带到任何网站),那么您的设备可能会立即受到威胁。游戏结束。
是的,它们可能是一个大问题,我相信最终会成为一个共同的威胁。 以下是它们的工作方式。