AV-E11

Kamera / QR-Code

Der QR Code [1] kann bis zu 2953 Byte Daten enthalten, die von der verwendeten Anwendung nach dem Einscannen in einen lesbaren Text umgewandelt wird.


Details:

Der eigentliche Angriffsvektor besteht in dem ausführen des QR-Codes (Quick Response), hinter dem sich ein Webseitenlink oder eine Telefonnummer verbergen kann. Dabei ist es von der verwendeten APP abhängig, ob und wie diese Daten interpretiert werden. Auch das Ausführen von Java-Script ist möglich, wenn er als Link getarnt von der APP an den Browser übergeben wird. Um ein größeres Skript in einen QR Code zu wandeln, können vier Quadrate zu einem einzigen zusammengeführt werden, der dann fast 12 kByte enthalten kann.



Erkennung:

Die verwendete QR-APP sollte die eingelesenen Daten zuerst anzeigen und erst nach der Bestätigung des Nutzers ausführen.

Das Ausführen des Links, beziehungsweise der URI, darf nicht ohne Zustimmung des Nutzers erfolgen. Hierzu könnte auch der Webbrowser vor der Verbindung auf eine Nutzereingabe warten.

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen