Pass på QR-koder

Som journalist prøver jeg å være fortrolig. Men som konsulent skylder jeg det til kundene mine å være ærlige. Så jeg forteller hver og en om å være lei av QR-koder - de er onde.

Hva er QR-koder?

Quick Response (QR) -koder er strekkoder, de ser bare annerledes ut. Det er fordi QR-koder bruker segmenter - som piksler på en skjerm.

Mens mer kjente strekkoder bruker vertikale linjer med ulik tykkelse.

QR-koder ble utviklet i 1994 av Denso Corporation, et japansk selskap tilknyttet bilindustrien. Ved å bruke segmenter gir QR-koder flere forbedringer. For å starte, kan en QR-kode håndtere betydelig mer data som 20-tegnene ga UPC-strekkoder (med tillatelse fra Denso).

Og QR-koder:

  • Bruk to dimensjoner, slik at de blir mindre fysisk.
  • Har innebygd feilretting, slik at data blir hentet fra skitne eller skadede overflater.
  • Kan skannes raskere og fra alle retninger.

Følgende lysbilde forklarer de forskjellige delene av en QR-kode (med tillatelse fra Wikipedia).

De er kanskje ikke alle dårlige

Husker jeg at jeg beskriver QR-koder som ond? En gammel kar kan ombestemme seg, ikke sant?

Mens jeg forberedte denne artikkelen, hadde jeg en mindre epifanie. QR-koder har et sted. De lar meg gi digital informasjon i et ikke-elektronisk format - for eksempel visittkortet mitt. Jeg har flere nettsteder og e-postadresser oppført på kortet. Pre-QR koder, folk ble pålagt å legge inn informasjonen manuelt. Med QR-koder er det en enkel skanning.

Tilsynelatende har andre funnet ut mye tidligere enn I. Dr. Shilpy Patters blogg "5 bruk av QR-koder i klasserommet" diskuterer for eksempel hvordan QR-koder hjelper lærere og studenter med å fokusere på det som er viktig - å lære.

QR-koder overalt

Jeg begynte å oppdage QR-koder overalt og kjørte sønnene mine: "Se, denne er veldig kul. Å vent, det er en annen." Den hyperaktive nysgjerrigheten fikk meg nesten i trøbbel.

Da jeg ikke ønsket noen videre del av mitt store eventyr, måtte jeg ta meg til rette på det lokale kaffehuset. Mens jeg ventet på min koffeinfri, fikk en plakat oppmerksomheten min. Den hadde en QR-kode. Handlet tilstrekkelig kult, jeg skannet koden og begynte å trykke på lenken. Jeg stoppet.

Noe stemmer ikke

Noe med nettadressen var av. Så oppdaget jeg det, tallet null i stedet for en liten bokstav O. Jeg visste hva det betydde med en gang. Digitale skurkar var på jakt. Å sette opp ondsinnede nettsteder ved å bruke domenenavn som er stavefeil (typosquatting) av populære nettsteder er et vanlig tips. PaypaI.com er et godt eksempel. La du merke til store bokstaver jeg i stedet for en liten bokstav L?

Ved undersøkelse

Jeg så nærmere på plakaten. Noen plasserte et QR-kodet klistremerke rett på toppen av den virkelige QR-koden. Sneaky. Etter at jeg kom hjem, ringte jeg William Francis - min Android-undersøkende årskull - og fortalte ham om min erfaring. Her var hva William hadde å si:

"Det er heldig at QR-kodeskanneren din tilfeldigvis var Google Goggles . Den og ZXing Barcode Scanner er de eneste to jeg kjenner til den forhåndsvisningen av en skannet lenke før jeg tok noen handling. ShopSavvy - sannsynligvis den mest populære QR-kodeskanneren - forhåndsviser ikke dataene. "

William fortsatte med følgende eksempel:

"Det er et spørsmål om brukeropplæring. Hvis sønnen min skanner en QR-kode, og det dukker opp en melding om" Sprint System Update ", vil han trykke på den. Videre, hvis den spør ham" Vil du installere oppdateringen? " vil sannsynligvis si ja - ikke å innse at Sprint ikke har noe å gjøre med den aktuelle appen. "

Williams kommentar om brukeropplæring slo min hukommelse. Vi opprettet et eksempel en gang før - RU @ RISK - for å forklare et Android-tillatelsesproblem. Jeg spurte om vi kunne gjøre noe lignende nå. Han trodde vi kunne.

Du har en systemoppdatering

Det er på tide å ta den late propellhatten på.

Du har en verdensberømt app fra MKassner.Net - jeg sa vel som - på smarttelefonen din. Du mottar en e-post fra MKassner.Net. Det foreslår at du skanner følgende QR-kode for å laste ned en oppdatering som løser et utnyttbart sikkerhetsproblem.

Neste lysbilde er hvordan det ser ut på telefonen min etter skanning av QR-koden ovenfor. Jeg omsluttet det som er innebygd i QR-koden. For å unngå forvirring, ønsket jeg å nevne at du kan se forskjellige resultater avhengig av hvilken versjon av Android som er installert.

Neste lysbilde bekrefter at appen er lastet ned og er klar til å installere. William fikk til og med appen til å se offisiell ut, akkurat som skurkene ville gjort.

Nå er det på tide at de modige sjelene som har fulgt med, klikker på .apk og ser hva som skjer. Hvis du ser neste lysbilde, er ikke innstillingen "Tillat installasjon av applikasjoner som ikke er markedsført" merket.

Hvis du klikker på innstillingsknappen, kommer du til følgende lysbilde.

Noen forståsegpåere vurderer denne innstillingen som en sikkerhetsfunksjon. Problemet er at det ikke er uoverkommelig. Hvis innstillingen ble sjekket eller applikasjonen lastet ned fra Android Market, ville sys_update.apk ha blitt installert automatisk.

Siste tanker

Husk først og fremst sikkerhetsrådene du har samlet om live lenker i e-post og på nettsteder. Alt det gjelder QR-koder. For eksempel kommer URL-forkortere inn for å leke med QR-koder, og jeg satser på at skurkene vil bruke dem til å tilsløre den faktiske URL-en.

William ønsket å legge til:

  • Husk at QR-kodeutnytting er avhengig av at brukeren er uinformert. Når du skanner QR-koder, har du noen ide om hva du forventer å skje.
  • Ikke la alternativet "installer fra ukjente kilder" være aktivert. Hvis det av en eller annen grunn må aktiveres, må du være ekstra årvåken når du skanner QR-koder. Det er ett mindre lag med beskyttelse mellom deg og skurkene.
  • Hvis noe i løpet av skanningen av en QR-kode virker fiskig - er det sannsynligvis ..
En siste ting, William og jeg er veldig nysgjerrige. Hva syntes du om appen hans - sys_update.apk? Oppdatering (10. januar 2012): Jeg ønsket å stille en tjeneste. Det ser ut til å være forvirring om innstillingen: "Ukjente kilder. Tillat installasjon av ikke-markedsførte applikasjoner" er tilgjengelig eller ikke på forskjellige telefonsystemer. Hvis du kunne gi oss beskjed om omstendighetene dine, vil det bli satt pris på.

© Copyright 2021 | pepebotifarra.com