Óvatosan a QR-kódokkal!

A QR kódok használata az okostelefonok elterjedésével egyre népszerűbb lesz, de oroszországi jelentések szerint máris akadnak olyanok, akik a kódok segítségével megrövidíthetik a felhasználókat.

Oroszországban több androidos okostelefon felhasználó meglepődve vette észre, hogy miután megpróbáltak letölteni egy ICQ chat alkalmazást egy QR kód segítségével, hatalmas telefonszámlákat kaptak. A QR kód ugyanis az alkalmazás letöltése helyett több fizetős sms szolgáltatásra jelentkezett fel.

Az esetet egy orosz antivírus szoftvereket gyártó cég, a Kaspersky Lab jelentette, akik még szeptemberben fedezték fel, hogy az eltérített QR kód egy trójait telepít az okostelefonokra.

imageValós a veszély?A legmeglepőbb az egészben, hogy a probléma eddig nem merült fel. A QR kód ugyanis bármilyen URL-re mutathat, így nem nehéz egy olyan URL-t a kód mögé rakni, ami valamilyen rosszindulatú szoftvert tölthet le. Valószínűleg a hackerek figyelme azért nem fordult eddig a QR kódok felé, mivel egyelőre még az USA-ban sem tudtak igazán elterjedni.

Valószínűleg a QR kódok ilyen kihasználása az Android készülékek esetében a „nyitott” rendszer miatt egyszerűbb a hackereknek, mint iOS eszközökön. Az iPhone felhasználók sokszor teljesen átlagos fájltípusokat sem tudnak megnyitni, meglepő lenne, ha valamilyen kártékony fájlt mégis megnyitna a rendszer.

Az ilyen biztonsági fenyegetések általában mindig megjelennek, ha egy technológia elkezd népszerűvé válni. A legjobb példa az utóbbi időben erre a közösségi hálók. A napokban lelőtt Kadhafiról készült állítólagos képek és videók sora került ki a különböző közösségi oldalakra, és több mögött valamilyen vírus vagy más rosszindulatú szoftver állt.

Ilyen esetekben ki kell emelni, hogy a biztonság első vonalát mindig a felhasználók jelentik. A fenyegetések jelentős részét kiszűrhetjük csak azzal, ha óvatosak vagyunk, és lehetőleg csak a megbízható linkekre kattintunk.
14 hozzászólás
The Last Boy Scout
2011. 10. 25. @ 21:13
The Last Boy Scout képe

Honnan szeditek ezeket a cikkeket?? Legyetek már egy kicsit tisztában az Android mûködésével, és akkor nem írkálnátok ilyen faszságokat össze.

beszmac
2011. 10. 25. @ 21:51
tnacsak
2011. 10. 25. @ 22:25
tnacsak képe

Nem értem. Ez a cikk akár Android dícséretknt is felfogható, hiszen egy az egyben az Android nyitottságát emeli ki, miközben az iOS-rõl pedig kimondja, hogy teljesen átlagos file-típusok sem mindig nyitható meg...
Már ez is gond?

adamsky
2011. 10. 26. @ 01:53

@EDM te tisztaban vagy az android mukodesevel ?
mert amit te irkalsz az a fa*sag :D

Zeo
2011. 10. 26. @ 02:27
Zeo képe

"...lehetõleg csak a megbízható linkekre kattintsunk!"
Egy QR kód esetében ez meglehetõsen nehéz feladat :D Én is egyre többször használom és már nekem is átvillant az agyamon, hogy ezzel bizony alaposan vissza lehet élni.

macmondoember
2011. 10. 26. @ 03:38
macmondoember képe

QR Trójai :-) Na még ez is... Ez a jövõ?
Bár az iost meg egy teljesen hétköznapi Pdf-nek álcázott trükkel törték fel, szval...

trumi
2011. 10. 26. @ 04:18

Macamondoember: erõs múltidõ.

EDM, hol vagy?

battila
2011. 10. 26. @ 14:59
battila képe

Alkalmazast csak ugy lehet telepiteni, ha a felhasznalo jovahagyja. Minden alkalmazasnak kulon-kulon meg kell igenyelni jogosultsagokat. Ezeket a Manifest allomanyban kell leirni.

Az alkalmazas telepitesekor ezeket a jogosultsagokat a rendzser kiirja! A felhasznalo ezekutan eldonti, hogy akarja-e telepiteni az alkalmazast, vagy sem.

Ilyen jogok pl.: a telefonkonyv megnyitasa, sms kuldes, ...
bovebben

Tehat csak ugy egy QR koddal nem lehet barmit felrakni. Es az alkalmazas fer hozza minden tartalomhoz a telefonon! Csak amire engedelyt kert es kapott!

EDM erre gondolt, hogy ezert faszsag a cikk.

Valojaban a tortenet egyszeru:
ember telefonjaval beolvasta a QR kodot, feljott az ablak, hogy az alabbi alkalmazas fog telepulni, es a kovetkezo jogosultsegok kellenek neki: ...
Ember el sem olvasva telepitette, aztan meg csodalkozott, hogy kapta a nagy szamlat.

battila
2011. 10. 26. @ 15:01
battila képe

"Es az alkalmazas fer hozza minden tartalomhoz a telefonon! "

kimaradt a nem.

The Last Boy Scout
2011. 10. 27. @ 00:15
The Last Boy Scout képe

Adamsky és a többi szagértõ, ahhoz, hogy a cikkben leírtak bekövetkezhessenek az alábbi esménysornak kell bekövetkeznie:

1. Rootolni kell a telefont
2. Telepíteni kell egy QR kód olvasót
3. Találni kell egy nem megbízható oldalon levõ nem megbízható QR kódot
4. Le kell tölteni a nem megbízható alkalmazást
5. Be kell kapcsolni a nem megbízható alkalmazások telepítésének az engedélyezését
5. Fel kell telepíteni a nem megbízható alkalmazást
6. Root jogokat kell adni neki

Ha ezek közül csak egyetlen egy nem teljesül, akkor ez a cikk tárgytalan, a trójai hatástalan.

Az iOS-en elég egy fertõzött pdf fáljt megnyitni, igaz? :P
De ha ettõl a bakitól eltekintünk, akkor ugyanezt a folyamatot kell végbevinni egy ájfonon is a sikeres fertõzéshez. Sõt, a sokat fikázott vindauzon is így kell telepíteni egy trójait, mert magától nem mászik fel kamuzzon bárki bármit az ellenkezõjérõl.

További jó fikázást :P

Zeo
2011. 10. 27. @ 00:55
Zeo képe

EDM: A cikk a Te listád alapján valahol a 3. lépéstõl indul. A többi szerintem csak tálalás kérdése a user fele. Ha hitelesnek tûnik akkor a naivabb felhasználók fel fogják telepíteni ezeket az alkalmazásokat és bizony ha egy felugró ablak rákérdez az engedélyre akkor arra is böknek egy "OK"-ot. Sok hasonló példa volt/van.

Zoly
2011. 10. 27. @ 19:57
Zoly képe

Furdal a kíváncsiság: mivel nekem nincsen QR kód olvasó eszközöm, vki megmondaná a képben levõ kérdésre ("What is in Keeley's hands?") a választ? :D :D

Zeo
2011. 10. 27. @ 22:12
Zeo képe

"Imádom a technetet" ha jól rémlik. Nem tudok ránézni mert ma le kellett adnom a szifonom szervízbe :(
Ez nyilván egy átszerkesztett verzió, de az eredeti engem is érdekelne :D

hagel
2011. 11. 24. @ 20:41
hagel képe

Ez mind szép és kó, de nekem inkább egy kód-író kellene.

Van ilyen Macira??
A nekem nem mûködõ qrhacker helyett??

Hozzá szeretnél szólni te is? Először be kell lépned!