РЕШЕНИЕ ПРОБЛЕМЫ С ВРЕДОНОСНЫМИ ССЫЛКАМИ В ВИДЕ QR
РЕШЕНИЕ ПРОБЛЕМЫ С ВРЕДОНОСНЫМИ ССЫЛКАМИ В ВИДЕ QR
Арипов Шамиль Шагалиевич
магистрант, Международный университет информационных технологий,
Казахстан, г. Алматы
АННОТАЦИЯ
В нынешнее время участилось использование Quickly Response (далее QR) кодов для платежных операций и транзакций в своей повседневной жизни, в том числе: оплата продуктов, заправки, а также пополнение лицевых счетов, что в итоге упростило жизнь для пользователей. Однако в QR кодах присутствуют некоторые проблемы с безопасностью, что в итоге приводит к утечки личной информации. Учитывая то, что пользователь не в курсе о том, что данные были украдены с помощью вредоносного QR кода, нанесённый ущерб приведёт к переводу средств или использованию личной информации без ведома. Невооруженным глазом невозможно определить, является ли код быстрого отклика вредоносным или нет. Для решения данной проблемы предлагается разработанный вариант обработки двухмерных штрих-кодов – “SaveQR” чтобы люди могли избежать возможной атаки злоумышленников.
Ключевые слова: QR коды, злоумышленники, информация, вредоносный код, верификация, незащищённые ссылки.
ВВЕДЕНИЕ
С становлением человеческого общества более модернизированным, информация становится важнейшим ресурсом в наши дни и нуждается в защите. Чаще всего информация кодируется отправителем, а затем расшифровывается получателем.
Код быстрого ответа — это просто закодированная информация, которую может расшифровать любой человек со сканирующим устройством. Эти двухмерные матричные коды могут помочь более быстро и удобно получать необходимую человеку информацию [1].
Двухмерные коды — это штрих-коды. Первый штрих-код был одномерным и использовался для идентификации продуктов. Ограничение хранения в 1D-штрих-коде послужило причиной создания 2D-штрих-кодов, которые могли бы содержать не только идентификационную информацию о продукте, но и описание [2].
Наравне с увеличением количества информации разрабатываются различные сервисы и устройства для пользования QR кодом: начиная с обычной камеры телефона, заканчивая платежными сервисами. С их помощью мы сканируем QR коды, впоследствии чего переходим по ссылке, отправляя некие данные по запросу данной ссылки. Проблема заключалась в распознавании QR кода человеком – невооруженным глазом невозможно понять, вредоносен он или защищен. Камеры телефонов либо просто-напросто предлагают пройти по ссылке, либо переходят по ней без предупреждения, в последствии чего возможна утеря данных пользователем, в случае, если ссылка была вредоносной.
В предыдущей обзорной[3] статье мы максимально подчеркнули проблемы, существующие в защищённости QR, описали альтернативные решения от коллег. Но, как показывает практика, проблема всё ещё актуальна.
По данным Центрального Банка РФ, около 14,5 миллионов долларов было украдено в Китае по сей день с помощью вредоносных QR кодов, а точнее ссылок, хранящихся в этих штрих кодах.
МЕТОДЫ ПРОВЕРКИ QR КОДОВ
Разработаны несколько методов проверок QR кодов, благодаря которым можно распознать вредоносность, либо наоборот, защищённость записанных ссылок. Одним из методов является проверка протокола на ссылке. HTTPS протоколы являются защищёнными, что нельзя сказать о HTTP. HTTPS является расширением HTTP протокола, которое имеет надстройку шифрования, что обеспечивает конфиденциальность данных. При посещении сайта, можно заметить, что браузер уведомляет о безопасном подключении при наличии HTTPS протокола в URL адресе. (Рисунок 1)
Рисунок 1. Уведомление о безопасном подключении
Нечто похожее можно увидеть при попытке посетить HTTP страницу, где, однако, уведомление будет предупреждать о незащищённости посещаемой страницы. (Рисунок 2).
Рисунок 2. Уведомление о незащищённой странице
При сканировании QR кода с помощью специального сканнера (Рисунок 3), веб приложение получает ссылку, которая в дальнейшем проверяется на защищённость и безопасность.
Рисунок 3. сканирование QR кода
Обработанная сканнером ссылка высвечивается на экран (Рисунок 4) в текстовом виде, что, по сути дела, помогает нам далее сделать запрос для проверки ссылки на защищённость.
Рисунок 4. Результат отсканированного QR кода
Данного рода проверка поможет пользователям распознать QR коды.
Помимо простых ссылок, существуют сокращённые ссылки, которые генерируются при помощи использования различных сайтов. При этом сам сайт-генератор может иметь HTTPS (защищённый) протокол, в то время как сама ссылка, которая была сокращена генератором, может быть вредоносной.
Таблица 1.
Пример сокращённых ссылок
|
Сокращённая ссылка |
Изначальная ссылка |
Защищённость |
|
https://bit.ly/2KXjkLX |
https://sneakers-magazine.com/ |
Да |
|
https://bit.ly/3FKf4eG |
http://info.cern.ch/ |
Нет |
В подобного рода случаях также сложно распознать невооружённым глазом пользователю, является ли ссылка вредоносной или нет. Вдобавок в проверке самого штрих-кода QR, нужно проверять саму ссылку. Второй метод обработки QR кодов проверяет на наличие сокращённой ссылки. Существует два варианта реализации:
- Запись сайтов-генераторов сокращённых ссылок в таблицу в базе данных. Если ссылка в QR коде начинается на один из сайтов-генераторов, то предупреждаем пользователя о том, что, возможно, за сокращённой ссылкой может быть вредоносная;
- Запись сайтов-генераторов сокращённых ссылок в таблицу в базе данных. Если ссылка в QR коде начинается на один из сайтов-генераторов, то пробуем дешифровать данную ссылку и проверить её на защищённость.
Оба варианта сыграют важную роль при проверке двумерных штрих-кодов, хранящих ссылки для перехода на страницу.
Третий метод довольно простой и будет частично зависеть от самих пользователей. У пользователей сервиса будет возможность оставить ссылку в форме обратной связи и заявить, что она является вредоносной. Подобные ссылки будут приходить модераторам на проверку. Если они действительно вредоносные, то фишинговые ссылки запишутся в отдельную таблицу в базе данных. Далее, при сканировании QR кода на сайте и совпадении ссылки с QR кода с одной из ссылок, хранящихся в таблице вредоносных ссылок, сервис уведомит о наличии вредоносной ссылки в QR коде.
Существует возможность не только сканирования QR кода, но и его прикрепления в виде файла или картинки. Произойдёт точно такое же сканирование, а затем сработают всё те же три метода проверки на вредоносность и наличия фишинга по ссылке.
ЗАКЛЮЧЕНИЕ
Подводя итоги, можно подметить, что вредоносные QR коды всё ещё существуют, однако решение, придуманное нами, значительно поможет пользователям либо избежать вредоносных ссылок, либо остаться, как минимум, предупреждённым о том, что есть вероятность фишинга.
В будущем планируется создать приложения для Android и iOS. Как мы понимаем, система уже готова, останется лишь интегрировать её в данные операционные системы, создав удобный для пользователей интерфейс.
Список литературы:
- Krassie Petrova , Adriana Romanello , B. Dawn Medlin and Sandra A. Vannoy - QR Codes Advantages and Dangers (p.112, 2014)
- Hyeon Cho, Dongyi Kim, Junho Park, Kyungshik Roh, Wonjun Hwang – 2D barcode detection using images for drone-assisted inventory management (26th of June, 2018)
- Aripov Shamil, Abdul Razaque - Malicious Detection of Links using Extension of Quick Response Codes (2022)