Pass deg for disse

Sikkerhetsekspert mener de populære QR-kodene kan utnyttes til å plante skadelig programvare på mobilen din.

Amobil.no/Bratislava: Du ser dem overalt, i annonser, på kinoplakater og i magasiner. QR-kodene er en smart måte å lenke til produktinformasjon, nedlastingssider for mobilapper, reklamevideoer eller filmtrailere på.

Men nå advarer sikkerhetseksperter mot at QR-kodene kan misbrukes.

Stephen Cobb er sikkerhetsevangelist hos ESET.
Stephen Cobb er sikkerhetsevangelist hos ESET.

Kan brukes til å spre skadelig kode

Under vårt besøk hos sikkerhetsselskapet ESET i Bratislava nylig advarte sikkerhetsekspert og blogger Stephen Cobb mot at noen med uærlige hensikter kan bruke QR-kodene som en måte å spre skadelig programvare på.

Årsaken er at mange QR-kodeskannere til mobiltelefoner sender deg direkte til en nettside eller til nedlasting av en app, uten å spørre først. På iPhone har det vært eksempler på at det har vært mulig å "jailbreake" en mobiltelefon bare ved å besøke en nettside, og siden dette gjøres ved å utnytte sikkerhetshull i systemet kan en person med skumle hensikter bruke tilsvarende metode til å installere skadelig programvare på mobiltelefonen din. Dette kan for eksempel være spionprogrammer som overvåker hva du driver med, programvare som gjør mobiltelefonen din til del av et botnett, eller programvare som prøver å stjele brukernavn og passord.

– Vi ser ikke massivt misbruk av QR-koder, men hvis QR-koder fortsetter å bli brukt, vil noen kunne finne en måte å misbruke dem på, sier Cobb. Han mener all ny teknologi som har suksess kan bli misbrukt. På samme måte som det finnes "entreprenører" som leter etter smarte ting å bruke ny teknologi til, vil det også finnes entreprenører som utforsker hvordan ny teknologi kan brukes til kriminell aktivitet.

En god QR-kodeskanner bør be deg om bekreftelse før den sender deg til en nettside eller til nedlasting av en app.
En god QR-kodeskanner bør be deg om bekreftelse før den sender deg til en nettside eller til nedlasting av en app.

Slik blir du lurt

Det er flere måter å spre skadelige QR-koder på. En metode er å bytte ut QR-koder på kinoplakater eller andre steder ved å klistre en annen QR-kode over den eksisterende koden. En annen og kanskje enda mer effektiv metode er å distribuere billige flygeblader eller brosjyrer med QR-koder, eller rykke inn annonser hvor folk blir lurt til å skanne en QR-kode for å få tilgang til for eksempel en ny app eller få mer informasjon om et produkt.

Cobb oppfordrer alle som utvikler løsninger basert på QR-koder til å lære av tidligere feil, og bygge løsninger som ivaretar sikkerheten.

– Gjør det slik at når du tar iPhone-en din og peker den mot QR-koden, så bør ikke telefonen respondere umiddelbart, men i stedet spørre om du virkelig vil gjennomføre dette og la deg se hva som vil skje før du godkjenner det, sier Cobb.

Også sikkerhetsselskapet Symantec advarer mot at QR-koder kan komme til å utgjøre en sikkerhetsrisiko for brukerne. I sin årlige Internet Security Threat Report, som kom ut denne uken, skriver Symantec at spammere allerede bruker QR-koder til å promotere ulovlig fremstilte legemidler, og at QR-koder også er blitt brukt til å spre trojanere på Android-mobiler.

– I kombinasjon med URL-forkorting, kan det være veldig vanskelig for en bruker å se på forhånd om en gitt QR-kode er trygg eller ikke. Så vurder å bruke en QR-leser som kan sjekke en nettsides "rykte" før nettsiden åpnes, skriver Symantec i rapporten.

Også NFC kan misbrukes

Cobb fortalte også hvordan man kan få en mobil til å automatisk laste en nettside med potensielt skadelig innhold ved hjelp av skjulte brikker som kan leses av en telefon med støtte for NFC – Near Field Communication. NFC er en teknologi som blir stadig mer utbredt i nyere telefoner, og som kan brukes til trådløs overføring av data over svært korte avstander – og som også antagelig vil være en essensiell del av fremtidige betalingsløsninger.

Selv om QR-koder og NFC-brikker benytter ulike teknologier, har de ifølge Cobb den samme svakheten: Når du bruker teknologien stoler du på at den som har laget QR-koden eller NFC-brikken som du skanner har gode intensjoner. Det er langt fra sikkert, skal vi tro Cobb.

På Stephen Cobbs blogg kan du lese mer om QR-koder, og se en video av hvordan kodene kan misbrukes.

Les også om hvordan tilsynelatende uskyldige apper sender kontakter, SMS-er og tastetrykk ut på nettet fra mobilen din.

Er du opptatt av sikkerhet på mobilen, bør du også lese våre ni tips som sikrer mobilen din.

Les også: Disse appene beskytter mobilen

Kommentarer (0)

Forsiden akkurat nå

Til toppen