QR-Codes & Attagging: Hacker im Quadrat

Wie im Beitrag QR-Codes - Grundlagen erwähnt können QR-Codes also Text und vCards, aber vor allem natürlich Links speichern. Und da liegt nun ein gewisses Problem, denn diese Links können zu allem möglichen führen – als scannender Nutzer kennt man das Ziel ja vorher nicht.

Man könnte also folgendes tun: den QR-kodierten Link zu einer Erotik-Website ausdrucken und auf Ampelmasten kleben. Alle sehen nur Pixel, niemand sieht das Ziel. Wer scannt, landet auf der Porno-Seite.

Das unbekümmerte Scannen solcher Codes ist also keineswegs ... nun ja, gefahrlos im allerweitesten Sinne.

Wenn man plötzlich einen anstössigen Film am Display hat, mag das – je nach Umgebung und Lautstärke der Tonspur – bloss peinlich sein. Bei der Vorstellung, dass derlei aber auch der kleinen Tochter und Hardcore-Pornos passieren kann, findet man das wohl schon weniger amüsant.

(Kurioserweise geben einige Nutzer in den Apps-Shops den Apps die Schuld für so was. Halte ich für unwahrscheinlich, aber unmöglich ist das nicht: eine trojanische App, die dem User ab und zu mal eine Werbe-Website unterschiebt…)

QR-Code mit Link zum Browser-Exploit

Ein Problem besteht darin, dass die in QR-Codes enthaltenen Links oft sofort besucht werden: der Scanner-App ruft den Browser auf und übergibt an ihn die Webadresse.

Das sieht für sich genommen noch nicht schlimm aus, doch haben auch Browser auf dem Smartphone immer wieder Sicherheitslücken, durch die es möglich ist, Schadsoftware einzuschleusen.

Sollte man diesem Link folgen?

Das verläuft dann ungefähr so:

  • Der Nutzer scannt einen QR-Code.
  • Die App übersetzt ihn an eine Webadresse.
  • Die Webadresse gehört zu einer Website mit Schadsoftware.
  • ENTWEDER: Die Adresse ist bereits eine Schadsoftware, etwa eine App (Endung APK auf Android) oder JAR (für Java). Laut Kaspersky soll es sowas schon real geben – siehe Malicious QR Codes Pushing Android Malware.
  • ODER: Sie erkennt den Mobil-Browser (oder für ihre Angreifbarkeit bekannte Browser-Plugins wie Flash) und manipuliert ihn über übliche Exploit-Methoden (Überlauf etc.), um heimlich ein Schadprogramm zu installieren.
  • Das so installierte Schadprogramm arbeitet dann als ganz normale App, oder es wird zu einem Teil der Smartphone-Software. Auf diese Weise kann es kostenpflichtige Dienste nutzen, per SMS Abofallen buchen oder Premium-Nummern nutzen. So gelangt das Geld des Abgezockten zum Angreifer.

Siehe auch diese etwas dumpfe Kaspersky-Infografik.

Das Teuflische daran ist, dass der Nutzer einfach eine normale Rechnung erhält. Es wird ja nicht etwa sein Bankkonto geplündert oder dergleichen (allerdings kann prinzipiell sein Adressbuch ausgelesen werden, und dort sollen einige Anwender ja ihre PINs speichern), sondern für alle Stellen ausserhalb des Handys sieht es so aus, als habe der Benutzer auf normale Weise legale kostenpflichtige Dienste in Anspruch genommen.

Reality Check: Na ja. Sagt Kaspersky. Das Problem wird leider zunehmend, dass die Jungs natürlich nur ihr Mobil-AV verkaufen wollen... kurz: eher seltene Gefahr.

Aber es gibt noch weitere brisante Dinge ...

QR-Code-Generator als Adress-Harvester für Spam

Auf vCards spezialisierte QR-Code-Generatoren können absolut harmlos sein. Allerdings händigen Sie solchen Websites natürlich freiwillig Ihre gesamte Adresse aus, mit allen Konsequenzen.

Reality-Check: Naja. Sehr mühsam, so Adressen zu sammeln... eher selten.

QR-Code-Generator erzeugt Schadlinks

Natürlich empfehle ich im Beitrag QR-Codes - Grundlagen Web-Apps zum Erzeugen von QR-Codes, weil ich wie Sie keine Lust habe, mir ständig was zu installieren.

Damit geht aber auch eine Gefahr einher: Nämlich die, dass wir mit diesen Generatoren überhaupt nicht die Links erzeugen, die wir wollen. Sondern Fake-Links auf böse Malware-Seiten.

Reality-Check: Unwahrscheinlich, aber möglich. Also bei eigenen Codes einfach mal ausprobieren, ob das Ergebnis wirklich das gewünschte ist…

QR-Code-Dialer

Wird per QR-Code eine Telefonnummer übertragen, weiss man ja auch erst mal nicht, wo diese hinführt. Es könnte sich um eine kostenpflichtige Nummer eines Premiumdienstes handeln, auf gut deutsch: um eine Sex-Hotline.

Reality-Check: Jeder Ampelmast könnte so dazu dienen, Einnahmen zu generieren. Nur: Der (Dumm)User muss die Nummer ja immerhin noch wählen… ich glaube, dazu ist das Bewusstsein, das ein Telefonat Geld kostet, noch zu gross. Also eher unwahrscheinlich.

QR-Code-Phishing - Mobile-Phishing

Die Webadresse, die durch den QR-Code aufgerufen wird, könnte sich als eine „bekannte“ Website wie PayPal oder GMX ausgeben.

Sie könnte den Benutzer dann unter einem Vorwand (im Kontext des Pixel-Quadrats) dazu verführen, Benutzername und Passwort einzugeben („Phishing“).

Reality-Check: Ich kenne keinen Fall, aber im Umfeld von Alternative Reality Games oder (gehackten, siehe unten) Marketing-Kampagnen großer Marken ist das durchaus denkbar. Hier ein paar Tipps zu Mobile Phishing.

QR-App-Exploits: „Attagging“

Die QR-Code einlesende App selbst könnte einen Programmierfehler haben, der sich als Sicherheitslücke ausnutzen lässt. Interessant ist dazu auch dieser Beitrag von KaOtiCo NeUtRaL und dieser aus dem Scientific American.

Das adressiert vor allem weit verbreitete Apps wie etwa Google Goggles oder den praktischen Preis-Scanner Barcoo, der ganz nebenbei eben auch QR-Codes erkennt, analog zu den Browsern, wo man ebenfalls versucht, verbreitete Systeme anzugreifen. Sonst lohnt sich das nicht.

Bei diesem Szenario kann schon das Scannen selbst (theoretisch!) zu einer Gefahr werden, auch wenn einige Kollegen meinen, das wäre Schwachsinn. Ist es aber nicht, mit URL-Exploits ging schon so manches. Die Aussage „Ein QR-Code enthält keinen ausführbaren Code“, auf der Panikmachevorwürfe gegen Beiträge wie diesen basieren, stimmt eben nur in einer idealen Welt, in der Apps keine Fehler haben.

Reality-Check: Selten, mehr so ne Proof-of-Concept-Sache.

QR-Abzocke

Je nachdem, wie künftige Zahlungsfunktionen im Handy implementiert und mit QR verknüpft sein könnten, fallen schnell noch weitere Szenarien ein, die aber derzeit rein theoretisch sind.

Und damit sind wir auch schon bei:

QR-Code-Hacking, QR-Napping, QR-Kunst

Denn es gibt sie wirklich: QR-Code-Hacker. So nennt man Leute, die QR-Codes im öffentlichen Raum, etwa auf Werbeplakaten, mit eigenen QR-Codes überkleben oder willkürlich nackte QR-Codes ohne Kontext irgendwo anbringen. Man scannt also vom Plakat für das neue Auto und landet auf einer Seite, die das Plakat veralbert (siehe Adbusting).

Ein solcher QR-Code-Hacker ist der (QR-Code-)Künstler SWEZA, der einen interessanten Vortrag auf der republica 12 hielt. Sein Blog man sich ruhig mal reinziehen, denn der macht ein paar wirklich schöne Sachen.

SWEZA auf der #re12

Zum Beispiel knipst er beim Projekt "Graffiyard" Graffiti, und wenn diese irgendwann übermalt wird, bringt er dort einen QR-Code an, die zum Foto führt, auf dem die Graffiti noch zu sehen ist, siehe auch QRT. Gefällt mir sehr gut. Aber er hat wohl auch schon QR-Werbekampagnen gehackt, und ich habe gute Lust, das ebenfalls zu tun: der gehackte beziehungsweise eher gekidnappte QR-Codes von was auch immer könnte dann zum Beispiel zu diesem Post führen ;-)

Mehr QR-Kunst auf qrcartist.com, qrarts.com, qrworld.nl oder qrart.com/Art.html.

Aber natürlich kann, rein theoretisch, jeder QR-Code im öffentlichen Raum auch bösartig „gehackt“ werden, um auf irgendwas anderes umzuleiten, das nicht mehr als Kunst durchgeht.

Wenn einen Fall kennt, nur immer her mit den Beweisfotos … ich hab leider nie mein Handy dabei...

QR-Codes: Wie gross ist die Gefahr denn nun wirklich?

Na ja. Man muss nicht schon wieder den Teufel an die Wand malen. Denn obwohl das alles theoretisch möglich ist, ist es derzeit vor allem ziemlich selten und daher unwahrscheinlich.

  • Der Gauner im fernen Ausland müsste seine QR-Codes erst einmal irgendwie an deutsche Ampelmasten kleben. (Leichter geht es auf Webseiten.)
  • Er bräuchte auch dann noch reichlich Glück, um Anwender mit genau jenem Smartphone-Typ zu erwischen, in dem diese eine Sicherheitslücke (noch) existiert.

Derzeit ist also deutlich wahrscheinlicher, bei einem „wilden“ QR-Code auf einen Schabernack (etwa ein schockierendes Bild) zu stossen, als auf eine Website mit Schadsoftware. Und Apps sollte man halt einfach nicht anders beziehn als über den App-Shop der jeweiligen Plattform. Ist unsicher genug...

Vorsicht vor QR-Codes:

Es schadet trotzdem nicht, ein paar simple Regeln zu beherzigen.

  • Scannen Sie nicht allzu leichtherzig QR-Codes ein, die irgendwo angebracht sind.
  • Das gilt auch für Webseiten, die auf der Seite selbst QR-Codes anbieten, die man vom Bildschirm weg einscannen kann. Sie verweisen damit zum Beispiel auf ihre Mobilversion oder eine zugehörige App.
    Achten Sie darauf, nur QR-Codes namhafter Webseiten zu scannen, und nur solche, die unzweifelhaft als Teil der Webseite erkennbar sind (nicht etwa Werbung).
    zxing.org/w/decode.jspx kann helfen, QR-Code-Grafiken im Web auszulesen, ohne das man sie öffnen muss.
  • Verwenden Sie nur solche QR-Scanner-Apps, die nicht von selbst die Website aufrufen oder die Telefonnummer anrufen, sondern die erst einmal anzeigen, was sie aufrufen würden. Prüfen Sie, ob Ihre App vielleicht eine Funktion besitzt, um dies entsprechend einzustellen. (Die im Beitrag QR-Codes - Grundlagen genannten Apps Google Googles für Android und Easy QR für iOS rufen die Seiten nicht selbständig auf.)
  • Überprüfen Sie selbst erzeugte QR-Codes, ob diese wirklich dorthin führen, wo Sie hinführen wollten.
  • Achten Sie auf die URL, die als Zielwebadresse angezeigt wird: Wenn diese nicht vertrauenswürdig aussieht, nehmen Sie lieber Abstand davon, sie aufzurufen. „Vertrauenswürdig“ sind nur solche eindeutigen Webadressen, die Sie ganz bewusst auch selbst mit ihrem Smartphone-Browser aufrufen würden.
  • Vorsicht bei Webseiten, bei denen Sie sich anmelden müssen: Rufen Sie sicherheitshalber den Dienst durch manuelle Eingabe der Webadresse auf und melden Sie sich erst dann an. So vermeiden Sie, in die Phishing-Falle zu tappen.
  • Trauen Sie nicht der 'lesbaren Webadresse' in der Matrix: Text und Code müssen nicht automatisch übereinstimmen.
  • Einige QR-Codes verweisen direkt auf Apps im jeweiligen App-Shop. Der Nutzer muss dann immer noch zustimmen, ob er die App wirklich kaufen oder installieren will. Überlegen Sie lieber dreimal, ob Sie diese App jetzt brauchen.
    Bei Hype-Apps sollte man zudem prüfen, ob es sich wirklich um die gehypte App handelt – oder einen Trojaner-Nachbau, der nur einen ähnlichen Namen hat.
    Besser: NIE Apps via QR-Code beziehen (<-Paranoia-Modus).
  • Aktualisieren Sie regelmässig die Firmware Ihres Smartphones, egal, ob das nun ein Android-Smartphone oder iPhone ist. So werden Sicherheitslücken geschlossen.
  • Aktualisieren Sie regelmässig die Apps auf dem Smartphone, denn auch dabei werden vorhandene Sicherheitslücken mit einiger Wahrscheinlichkeit geschlossen.
  • Fragen Sie beim Mobilfunkanbieter, was Sie tun müssen, um dort jeweils kostenpflichtige Premium-Dienste aller Art zu sperren. Meist funktioniert das über den Begriff „Drittanbietersperre“, in der Regel über die Hotline oder die Webverwaltung des jeweiligen Anbieters. Wer keine Premium-Dienste nutzt, sollte dies ernsthaft in Erwägung ziehen, weil es ganz generell vor der finanziellen Abzocke durch „trojanische Apps“ egal welcher Art schützt.

Fazit:
Folge dem weissen Kaninchen - nicht!

Den Link der Webadresse, den mal per QR-Code einscannt, kann man nicht sorgfältig genug prüfen. Vor allem bei Kurz-URLs (tinyurl.com/…., bit.ly/…, ow.ly/…) sollten sofort die Alarmglocken schrillen, denn sind auch im normalen Web aus Sicherheitssicht ein Risiko. Diese Adressen leiten unter Umständen auf Seiten weiter, die mit dem gewünschten Ziel rein gar nichts zu tun haben.

Ein interessanter Beitrag dazu ist auch URL Obfuscation: Kein Link ohne Risiko von Ralph Dombach auf it-administrator.de, der sich mit verschiedenen Methoden, URLs zu verschleiern, auseinandersetzt und QR-Codes als eine davon vorstellt. Mehr dazu auch hier bei mir unter dem Stichwort Kurz-URLs, speziell im Beitrag Warum URL-Shortener gefährlich sind. (Um so bedauerlicher, dass einige Unternehmen (etwa youscan.me) letztlich nichts anderes machen, als das zum Geschäftsmodell zu erheben. So dressiert man die User, jeden Mist zu scannen und der URL keine Achtung zu schenken.)

QR-Code sind auch nicht allein. An Flughäfen findet man oft die Möglichkeit, sich einfach per Bluetooth eine Werbe-App auf das Wandertelefon zu ziehen. Mit der kommenden Trendtechnik Near Field Communication (NFC) lassen sich bald ähnliche Funktionen realisieren. Und auch die damit einhergehenden digitalen NFC-Geldbörsen werden sicher noch für Smartphone-Sicherheitsprobleme sorgen…

Amazon bietet hier Bücher und T-Shirts und anderes Zeugs zum Thema QR-Codes.

Hier noch ein Film zu QR-Hacking:

Andreas Winterer

Andreas Winterer ist Journalist, Buchautor und Blogger und beschäftigt sich seit 1992 mit Sicherheitsthemen. Auf unsicherheitsblog.de will er digitale Aufklärung zu Sicherheitsthemen bieten – auf dem Niveau 'normaler Nutzer' und ohne falsche Paranoia. Auf der Nachbarseite passwortbibel.de geht's um Passwörter. Bitte kaufen Sie eines seiner Bücher.

Das könnte Dich auch interessieren...