کمیته رکن چهارم – امروزه استفاده از فناوری کد QR بسیار متداول شده و همین واقعیت باعث گشته مهاجمان به دنبال روشهای جدید برای سوءاستفاده از این فناوری باشند. در این مطلب از فراست، به بررسی روشهای امن سازی فناوری کد QR و حفاظت از آن در برابر مخاطرات میپردازیم.
کاربردهای فناوری QR
فناوری کد QR که مخفف کدهای پاسخ سریع (Quick Response Codes) است، ابتدا توسط یک شرکت خودروساز ژاپنی به نام «دنسو ویو» برای پیگیری قطعات خودرو در محیط کارخانه و در قالب رمزینههای ماتریسی ابداع شد. این بارکدهای دوبعدی، امکان خواندن و اسکن ۴ هزار کاراکتر توسط دوربین گوشیهای هوشمند را فراهم میکردند.
کدهای QR، حاوی ماژولهای سیاه رنگ بر روی زمینه سفید بوده و میتوانند حاوی آدرس اینترنتی خاصی باشند که پس از اسکن آن توسط دوربین گوشی، نشانی اینترنتی را رمزگشایی کرده و صفحه مورد نظر را نمایش دهند.
از آن زمان تا به امروز، کاربرد و میزان استفاده از این فناوری همواره بیشتر شده است. در حال حاضر بسیاری از مشتریان و شرکتهای ارایهدهنده خدمات پرداخت مبتنی بر برنامههای کاربردی، خیریهها، سازمانهای غیردولتی و پایانههای فروش، همگی از ابزارهای تولید کد QR آنلاین و راهکارهای پرداخت بدون تماس که کار مشتریان را برای اجرای تراکنش ها آسانتر میکند، استفاده مینمایند.
شرکتهای بزرگ فناورانه نیز برای کسب اطلاعات در خصوص فروشگاههایشان از فناوری کد QR بهره می برند. نکته جالب این است که این فناوری برای واقعیت افزوده که با استفاده از آن میتوان محتوای دیجیتالی ساخته شده توسط رایانه را به صورت مجازی در دنیای واقعی نمایش داد هم کارایی دارد. برچسبهای کد QR که روی یک شی، دیوار یا میز نصب میشوند میتوانند نقش یک نقطه مرکزی را در فضای سه بعدی برای نصب اشیای واقعیت مجازی داشته و منبعی برای تأمین دادهها باشند.
در حال حاضر صفحه نمایشهای هوشمند میتوانند از فناوری کد QR برای اسکن کالاهای فروشگاه یا افزودن آنها به لیست خرید مشتریان استفاده کرده و شبکههای اجتماعی نیز از آن جهت شناسایی پروفایل کاربران استفاده نمایند. بنابراین واضح است که انتظار رود فناوری کد QR بسیار متداول و پرکاربرد خواهد شد.
کد QR به دو نوع ایستا و پویا تقسیم میشود. در روش پرداخت با کد QR ایستا، مصرفکنندگان می توانند کد QR نمایش داده شده توسط فروشنده را با تلفن همراه خود اسکن کرده و مبلغ را به صورت دستی وارد و انتقال وجه انجام دهند. این روش یکی از روشهای پرداخت بدون کارت (CNP) محسوب شده و امنتر از سایر روشها است.
در کد QR سنتی، استفاده مجدد از دادههای ایستا، مخاطره از دست رفتن، نشت و ردیابی اطلاعات را افزایش داده و ضریب امنیتی سیستم های اطلاعاتی را کاهش میدهد؛ اما در کد QR پویا، هر فریم از دادههای تصویر کد QR، توسط رمزنگاری پویای کلیدهای مختلف تولید میشود. بنابراین جعل آن کار سادهای نبوده و امکان نفوذ و ردیابی آن هم وجود ندارد. کد QR پویای تولید شده با مدت اعتبار کوتاه (اساساً یک کد در هر زمان)، از امنیت بالایی برخوردار است.
۸۴ درصد از شرکت کنندگان در یک نظرسنجی اعلام کرده اند تجربه اسکن کد QR را دارند. یک سوم از آنها نیز گفته اند که به تازگی این کار را انجام دادهاند. در نتیجه این پرسش ایجاد میشود که آیا این فناوری امنیت لازم را دارد یا خیر؟
مسایل امنیتی فناوری QR
با توجه به اینکه استفاده از کدهای QR راحت است بنابراین این فناوری میتواند ابزار قدرتمندی برای مجرمان سایبری باشد. در واقع کدهای QR میتوانند نقش نشانی وبی را داشته باشند که خطر باز کردن یک وب سایت مخرب را از طریق گوشی تلفن همراه ایجاد میکنند ولی برخلاف نشانی وب، احتمال اینکه کاربران قادر به شناسایی یک کد QR مخرب باشند، کمتر است.
علاوه بر این بسیاری از کاربران از اینکه میتوان کد QR خاصی نوشت تا ایمیل یا پیامکی را ارسال یا تماس تلفنی برقرار کند، اطلاع چندانی ندارند. بیش از یک سوم از شرکت کنندگان در نظرسنجی مربوطه اعلام کرده اند نگران امنیت کدهای QR نیستند.
مهاجمان میتوانند کدهای QR مخرب را از طریق پیامک، شبکههای اجتماعی، ایمیل و روشهای مختلف دیگر به دست قربانیان خود برسانند. کد QR، قابلیت فعالسازی یک اقدام خاص بر روی گوشیهای هوشمند از جمله اجرای یک برنامه پرداخت، انجام تراکنش، افزودن یک مخاطب یا پیگیری یک حساب کاربری مخرب در شبکههای اجتماعی را دارد. همچنین این کدها میتوانند موقعیت جغرافیایی کاربر را پیدا نموده یا او را به شبکه وایفای مخربی وصل کنند.
البته کدهای QR پویا هم مخاطرات خاص خود را دارند، مثلاً امکان تغییر دادههای تولید شده در آنها بعد از ایجاد این کدها وجود داشته یا میتوانند بر روی دستگاههای مختلف، دادههای متفاوتی را نمایش دهند.
ظهور و پرکاربرد شدن فناوری کد QR، با افزایش محبوبیت رمزارزها همراه شده است. امکان انتقال آدرسهای بیتکوین از طریق کد QR که بسیار راحتتر از تایپ کردن آدرسهای طولانی است، وجود دارد زیرا کدهای QR قابلیت تزریق داده را دارند و بیتکوین هم متشکل از یکسری داده است. بنابراین امکان سوءاستفاده از کدهای QR برای سرقت این رمزامرز وجود دارد.
برای کاهش مشکلات امنیتی و احتمال کلاهبرداری با کدهای QR، چندین روش وجود دارد که عبارتند از:
- اگر شخصی برای شما یک کد QR ارسال کرد، با وی تماس گرفته و مطمئن شوید که این کار واقعاً توسط او انجام شده است.
- مراقب لینکهای کوتاهی که بعد از اسکن کد QR نمایان میشود باشید چون ممکن است حاوی نشانی مخربی باشند.
- سازمانها باید یک راهکار دفاعی موبایلی داشته باشند که با هرگونه تلاشی برای فیشینگ، اکسپلویت کردن، در اختیار گرفتن کنترل گوشی تلفن همراه کارکنان و دانلودهای غیرمجاز مقابله کند.
- به جای دسترسی از طریق کلمه عبور به برنامههای کاربردی و منابع ابری، از احراز هویت چندعاملی استفاده کنید.
با توجه به مواردی که در این مطلب به آنها اشاره شد، توجه به تمامی جوانب برای حفاظت از دادهها اهمیت زیادی دارد. محافظت در برابر کدهای QR مخرب که همواره بر تعداد آنها نیز افزوده میشود باید جزو اولویتهای شما باشد.
منبع : زومیت