AV-E11
Details:

Der eigentliche Angriffsvektor besteht in dem ausführen des QR-Codes (Quick Response), hinter dem sich ein Webseitenlink oder eine Telefonnummer verbergen kann. Dabei ist es von der verwendeten APP abhängig, ob und wie diese Daten interpretiert werden. Auch das Ausführen von Java-Script ist möglich, wenn er als Link getarnt von der APP an den Browser übergeben wird. Um ein größeres Skript in einen QR Code zu wandeln, können vier Quadrate zu einem einzigen zusammengeführt werden, der dann fast 12 kByte enthalten kann.





Erkennung:

Die verwendete QR-APP sollte die eingelesenen Daten zuerst anzeigen und erst nach der Bestätigung des Nutzers ausführen.

Das Ausführen des Links, beziehungsweise der URI, darf nicht ohne Zustimmung des Nutzers erfolgen. Hierzu könnte auch der Webbrowser vor der Verbindung auf eine Nutzereingabe warten.


Smartphone Security