I rischi nascosti per la sicurezza dei codici QR
In questa attuale società senza contatto che abbiamo costruito a seguito della pandemia di coronavirus, i codici QR sono diventati parte della nostra abitudine. Abbiamo dovuto imparare a scansionare i codici QR su Android e iOS per poter effettuare pagamenti, cercare informazioni, ecc. E, in genere, lo facciamo con calma perché lo consideriamo un meccanismo sicuro. Almeno più sicuro di altri. Ma anche se questo è vero, non possiamo perdere di vista che ci sono alcuni rischi nascosti per la sicurezza dei codici QR.
Come dicevamo prima, una buona percentuale dei ristoranti in cui andiamo oggi ci permette di pagare tramite questo tipo di codici o, direttamente, di visualizzare il menù in questo modo. Alcuni dei suoi proprietari sostengono addirittura che continueranno a fornire questo sistema anche quando la pandemia sarà scomparsa. Ma questa adozione quasi definitiva che si preannuncia per il futuro dei codici QR, richiede anche utenti più informati sui rischi che ciò comporta. Ecco perché non volevamo smettere di fare questa recensione.
La storia e il futuro dei codici QR
In primo luogo, dobbiamo sapere che i codici QR esistono dal 1994. Questa tecnologia è stata sviluppata per la prima volta da una società consociata Toyota, con l’obiettivo di tracciare l’inventario, proprio come i codici a barre di tipo 1D. Naturalmente, i QR sono qualcosa come un’evoluzione di questi, considerando che possono contenere fino a 100 volte più informazioni. Ma, come sempre, maggiore è il profitto, maggiori sono anche i rischi.
In pratica, troviamo che fino a completare l’esecuzione di Windows i comandi possono essere incorporati in un codice QR. Se li usiamo dallo smartphone, possiamo avviare telefonate, inviare messaggi di testo e persino attivare le azioni di qualsiasi applicazione. Apple Pay ha persino confermato che, presto, saremo in grado di effettuare pagamenti in tutto il mondo leggendo i dati del negozio da un codice QR.
Ma che dire dei rischi nascosti per la sicurezza dei codici QR?
Già lo scorso anno, lo specialista di hacking Null Byte ha pubblicato un video che mostra alcuni dei modi in cui gli hacker possono incorporare payload dannosi all’interno di un codice QR. Se sei interessato a scoprire alcuni dei mezzi più tecnici che gli hacker possono utilizzare per sfruttare i codici QR, allora dovresti dare un’occhiata a quel video, che ti lasciamo di seguito:
Una delle prime conclusioni a cui possiamo arrivare quindi è che la natura fluida dei codici QR rende più facile cogliere alla sprovvista gli utenti, senza nemmeno ricorrere a elementi sofisticati. Per qualcuno con abbastanza conoscenze, sostituire il codice QR originale con uno dannoso sul tavolo di un ristorante è un lavoro relativamente semplice, che non richiede molto sforzo.
In tal caso, un hacker potrebbe indirizzare gli utenti a un sito Web chiedendo loro di accedere con Facebook o Gmail. Non solo, molte altre truffe di phishing e clickjacking, non necessariamente tecnicamente molto avanzate, sono possibili se qualcuno avesse accesso per modificare il codice QR.
In ogni caso, la maggior parte dei rischi presenti nei codici QR derivano dal non essere sicuri dell’origine del codice QR stesso. Non si tratta dell’insicurezza del sistema stesso, ma di quanto sia facile sostituire le informazioni corrette con informazioni false. E quanto sarà difficile per l’utente realizzarlo e prevenirlo.
E cosa possiamo fare?
A questo punto, ovviamente, molti lettori probabilmente si chiederanno cosa possono fare per evitare di essere ingannati o imbrogliati. Uno dei modi più efficienti per rimanere sintonizzati è abilitare la revisione del codice QR. Questa particolare impostazione ci consente di eseguire un’ispezione approfondita del testo decodificato prima di eseguire qualsiasi codice o aprire applicazioni specifiche. E questo ti farà risparmiare più mal di testa.
D’altra parte, le aziende che utilizzano i codici QR possono proteggere i clienti utilizzando un generatore di codici QR progettato su misura. Grazie a questo design personalizzato che stabilisce un legame tra l’azienda e il cliente, sia i dipendenti che i consumatori sperimenteranno manipolazioni e sostituzioni.
In effetti, ci sono molti casi esemplari come il ristorante Green Truck Cafe, che utilizza un codice QR con il suo logo per evitare manomissioni. Grazie a QRCode Monkey, qualsiasi brand può creare facilmente un design personalizzato. E sebbene ciò non ci impedisca al 100%, è un metodo per complicare le cose per gli hacker. Dopotutto, è di questo che si tratta, avere strumenti per scoprire le contraffazioni.