ПРОБЛЕМА БЕЗОПАСНОСТИ ИНФОРМАЦИИ ПРИ ИСПОЛЬЗОВАНИИ QR-КОДИРОВАНИЯ

АННОТАЦИЯ

Цель: рассмотерние возможных источников опасности при использовании QR-кодирвоания, метод: , результат: , вывод.

Ключевые слова: QR-код, штрих-код, защита, кодирование, безопасность.

QR-код (сокращение от Quick Response Code) - это тип матричного штрих-кода (или двумерного штрих-кода), созданный в 1994г. японской автомобильной компанией Denso Wave. Изначально данный код – машиночитаемая оптическая этикетка, содержащая информацию об объекте, к которому он прикреплен. На практике QR-коды часто содержат данные для локатора, идентификатора или трекера, который указывает на веб-сайт или приложение. QR-код использует четыре стандартных режима кодирования для эффективного хранения данных в совокупности с расширениями.

Среди достоинств QR-кодов следует отметить их свободное использование по всему миру без приобретения лицензий или других ограничений. Среди недостатков данной системы отмечают отсутствие возможности шифровать графические изображения.

Наибольшее применение QR-коды находят в торговле, логистике и производстве. С их помощью можно легко найти нужный товар или изделие на складе, полке магазина. В настоящее время их все чаще применяют в различных видах рекламы: наружной, журнальной, в справочниках и буклетах. Любой пользователь, установив программу для распознавания QR-кода, может сфотографировать помещенный на рекламный стенд, плакат или страницу журнала рисунок и попасть на промо-сайт заинтересовавшего его продукта для получения подробной информации или его покупки. В то же время любой желающий при помощи генератора QR-кода может зашифровать свою информацию, которую ему нужно  разместить на Интернет-сайте, в СМИ, на телевидении или в любом другом месте.

Система Quick Response стала популярной за пределами автомобильной промышленности благодаря своей быстрой читаемости и большей емкости хранения, чем стандартные штрих-коды UPC. Приложения включают отслеживание продуктов, идентификацию продуктов, учет рабочего времени, управление документами и общий маркетинг.

В отличии от старого одномерного штрихкода, который считывается механически, с помощью маленького пучка света, QR-код считывается с помощью двухмерного цифрового датчика изображений (фотокамерой телефона, web-камерой), а затем в цифровой форме анализируется программируемым процессором. Процессор находит три поисковых узора в углах цифрового образа QR-кода и нормализует изображение. Затем считываются модули кода и преобразуются в двоичные числа.

В структуре QR-кода присутствует механизм повышения надежности хранения информации, так называемый уровень коррекции ошибок. Уровень коррекции ошибок строится на основе алгоритма Рида Соломона. Существует 4 вида уровня коррекции, которые задаются при создании QR-кода. Уровень коррекции ошибок способствует увеличению надежности хранения информации, что позволяет при потере части кода восстановить зашифрованную информацию. Уровень коррекции L позволяет прочитать код с потерей данных информации до 7 %, уровень коррекции M – до 15 %, Уровень коррекции Q – до 25 %, до 30 % информации может восстановить уровень H.

QR-код может содержать произвольную информацию, которую пожелал закодировать автор. Из этого следует, что при расшифровке существует риск получить ссылку на вредоносное ПО, перейти на опасный веб-сайт или же ненамеренно непроизвольно совершить злонамеренные действия. При этом взломать QR-код, и оставить его без изменения внешнего вида невозможно, так как любое изменение отразится на расположении основных компонентов кода.

Мошенники обычно используют вредоносные веб-сайты для распространения вредоносных программ через атаку путем загрузки. Атаки «Drive by download» - это атаки, при которых веб-сайт принудительно загружает программное обеспечение на ваше устройство при посещении веб-сайта. Действий со стороны пользователя при этом не требуется. Таким образом авторы таких ссылок устанавливают вредоносные приложения, а затем используют это устройство в своих целях. Эти зараженные устройства могут присоединяться к существующему ботнету или отправлять SMS. Также это может привести к утечке личной информации, содержащейся на устройстве.

Используя QR-коды для указания на подобные вредоносные веб-сайты, пользователей легко обмануть, так как они не могут видеть URL-адрес, поэтому удостовериться в его безопасности самостоятельно не представляется возможным.

Некоторые веб-сайты содержат незапрашиваемые загрузки, которые инициируют получение доступа к оборудованию ввода и вывода информации, данным браузера, отправление электронных писем или присоедините к ботнету для выполнения DDOS-атаки на какой-либо веб-сайт. Все эти действия происходят в фоновом режиме, поэтому пользователям трудно об этом не узнать.

Кроме того, ещё одной опасностью является фишинг. Такой вид мошенничества связан с тем, что злоумышленники отправляют ссылку на поддельную веб-станицу для входа в систему, которая выдает себя за исходную страницу входа на веб-сайт. Когда пользователь использует эту поддельную страницу для входа в систему, его данные для входа отправляются злоумышленнику.

Чтобы исключить или уменьшить вышеперечисленные угрозы рекомендовано перед сканированием QR-кода убедиться, что он не перекрывает другой код. В случае, если есть сомнения, то сканирование не производить. Если код ведет на веб-сайт, проверить полный URL-адрес, которого не представляется возможным по тем или иным причинам, то переход по ссылке также не рекомендуется. При вводе личных или учетных данных проявлять осторожность перед вводом, включая данные электронной почты или электронного банкинга.

Использование технологии QR-кода свободно лицензируется при условии, что пользователи следуют стандартам для QR-кода, задокументированным с помощью JIS или ISO. Нестандартные коды могут потребовать специального лицензирования.

Таким образом, безопасность использования данного типа кодирования информации зависит в основном от действий пользователя. В этой связи стоит довести подобную информацию о безопасности до конечного потребителя.

Список литературы:

1. Что такое QR-коды. [Электронный ресурс]. Режим доступа: https://www.kaspersky.ru/resource-center/definitions/what-is-a-qr-code-how-to-scan. Дата доступа: 27.11.2021.
2. QR-код. [Электронный ресурс]. Режим доступа: https://hmong.ru/wiki/QR_codes#title. Дата доступа: 27.11.2021.