Издание Nextgov/FCW в среду опубликовало статью доцента кафедры информатики Университета Теннесси Скотта Руоти (Scott Ruoti), в которой перечислены основные угрозы с точки зрения кибербезопасности, возникающие при использовании QR-кодов.
Так, содержащий ссылку QR-код может перенаправить пользователя на фишинговый сайт. URL также способен перенаправить гражданина на не имеющий отношение к злоумышленникам сайт и обманом заставить площадку совершить вредоносные действия, например, предоставить хакерам доступ к аккаунту жертвы. Хотя подобная атака подразумевает наличие уязвимости сайта, на который была перенаправлена жертва, подобные уязвимости широко распространены в Интернете.
Вредоносный URL способен открыть приложение на устройстве гражданина и заставить программу выполнить некоторые действия. В частности, дать возможность хакерам раскрыть некоторые данные пользователя.
При открытии ссылки, содержащейся в QR-коде, очень важно, подчёркивает Руоти, чтобы человек удостоверился в том, что ссылку опубликовал доверенный источник. Не стоит переходить по ссылке только потому, что код содержит знакомый логотип (он может не иметь отношения к содержимому), предупредил эксперт.
Кроме того, есть небольшая вероятность того, что приложение, используемое для сканирования QR-кода, содержит уязвимость, которую способен использовать созданный злоумышленниками QR-код для получения контроля над устройством физического лица. Для этого даже не потребуется открывать ссылку, жертве достаточно будет просто просканировать код устройством. Избежать подобного развития событий можно, если использовать доверенные приложения для чтения QR-кодов от производителя гаджета.
Ранее, напомним, департамент СМИ и рекламы города Москвы запретил распространителям наружной рекламы использовать QR-коды на билбордах, остановках общественного транспорта и других конструкциях. Запрет обусловлен тем, что QR-код, работающий как ссылка на интернет-ресурс, «содержащий различный и возможный к изменению контент», может содержать информацию, нарушающую закон «О рекламе».