QRLJacking روش نفوذ به سامانه ورود مبتنی بر کد QR

آیا می‌دانید که می‌توان با استفاده از یک سامانه احراز هویت کاملاً متفاوت اما سریع، به صحبت‌های واتس‌آپ، لاین و وی‌چت روی رایانه رومیزی کاربر دسترسی یافت؟

SQRL یک سامانه احراز هویت مبتنی بر کد QR است که به کاربران اجازه می‌دهد خیلی سریع و بدون به حافظه سپردن یا نوشتن نام کاربری و کلمه عبور وارد وبگاهی شوند.

کدهای QR، بارکدهایی دوبعدی هستند که حاوی اطلاعات بسیار زیادی مانند یک رمز به اشتراک گذاشته شده هستند. وبگاهی که سامانه احراز هویت مبتنی بر کد QR را اجرا می‌کند، کد QR را روی صفحه‌نمایش رایانه به نمایش می‌گذارد و هرکسی که بخواهد وارد وب شود می‌تواند کد را با یک برنامه در گوشی تلفن همراه اسکن کند. وقتی‌که کد اسکن شد، کاربر می‌تواند بدون وارد کردن کلمه عبور و نام کاربری وارد وبگاه شود.

از آنجایی‌ که کلمات عبور را می‌توان با استفاده از یک keylogger، حمله مردمیانی (MitM) یا حتی حمله جستجوی فراگیر به دست آورد، کدهای QR را می‌توان امن دانست چرا که به‌طور تصادفی کد محرمانه‌ای تولید می‌کند که برای هیچ‌کسی قابل‌مشاهده نیست.

اما باید این را هم در نظر گرفت تا وقتی‌که نفوذگرها انگیزه دارند، هیچ فناوری‌ای در امان نیست.

QRLJacking: نفوذ به سامانه ورود مبتنی بر کد QR

محقق امنیتی Egyptian Information و مشاور امنیتی سایبری در شرکت Seekurity، محمد عبدالباسط النوبی با یک اثبات مفهومی، روش جدیدی را نشان داد که برای رخنه به حساب‌هایی استفاده می‌شود که از ویژگی ورود با کد QR به‌عنوان یک راه امن برای ورود به حساب‌ها استفاده می‌کنند.

این روش که QRLJacking (یا Quick Response code Login Jacking) نام دارد یک حمله ساده اما خطرناک است که روی تمامی برنامه‌های کاربردی که از ویژگی ورود با کد QR استفاده می‌کنند، تأثیر می‌گذارد. تنها چیزی یک مهاجم نیاز دارد راضی کردن قربانی برای اسکن کد QR مهاجم است.

روش QRLJacking چگونه عمل می‌کند؟

۱۶۱۳_۲
محمد عبدالباسط با اسکایپ چگونگی کارکرد این روش را به‌طور کامل توضیح داده است. در ادامه چگونگی این حمله ذکر شده است:

مهاجم جلسه QR طرف مشتری را آغاز و کد QR ورودی را درون یک صفحه فیشینگ قرار می‌دهد. سپس مهاجم صفحه فیشینگ را برای قربانی می‌فرستد. اگر قربانی متقاعد شود، کد QR را با یک برنامه مخصوص گوشی همراه اسکن می‌کند. آن برنامه‌ی گوشی همراه نیز رمز محرمانه را به خدمات موردنظر می‌فرستد تا فرآیند احراز هویت را تکمیل کند. در نتیجه مهاجم که بخش QR طرف مشتری را راه‌اندازی کرده، کنترل حساب قربانی را به دست می‌گیرد. سپس آن خدمات شروع به تبادل تمامی اطلاعات قربانی با جلسه مرورگر مهاجم می‌کند.

بنابراین برای یک حمله QRLJacking موفق، تمام چیزی که مهاجم نیاز دارد عبارتند از: یک اسکریپت روشن‌کننده کد QR و یک صفحه وب فیشینگ دستکاری‌شده

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.