一個條碼連到兩個網站,當心遇到「偽裝 QR code」

作者 | 發布日期 2018 年 07 月 02 日 9:15 | 分類 網路 , 資訊安全 , 軟體、系統 line share follow us in feedly line share
一個條碼連到兩個網站,當心遇到「偽裝 QR code」


現在生活周遭隨處可見 QR Code,從電子發票條碼、廣告網站連結、想加 LINE 好友,只要掃一下 QR Code 即可,但你有沒有想過 QR Code 安全嗎?

QR Code 很方便,但肉眼讀不出來

隨著生活中有越來越多 QR Code,只要使用智慧型手機或平板掃一下條碼,就能加好友、連到特定網站或買東西。

但一般人看到 QR Code 就是黑白方塊的組合,除非使用智慧型裝置的 App 讀取條碼內容,否則光看著二維條碼,也看不出來它究竟連去哪個網站。

「一個條碼連到兩個網站」

最近,日本神戶大學資工系教授森井昌克發現,QR Code 設計時可做到「一個條碼連到兩個網站」的效果,且設計這種 QR Code 時,還可以調整分別連去兩種網站的頻率,讓特定比例的使用者一掃條碼就跑到錯誤的網站。

▲ QR Code 只有一個角落沒有雙層正方形方塊,這讓 QR Code 不管正著拍、倒著拍,QR Code 掃描 App 都能判別 QR Code 的方向,讀出正確的資料內容。(Source:Flickr/Dianne Yee CC BY 2.0)

小補充:二維條碼 QR code

QR Code 是一種二維條碼,在一塊正方形區域編碼中最多可儲存 7,089 位數字或 4,296 個符號,隨著 QR Code 的資料量越多,QR Code 的尺寸就越大。

QR Code 的正方形區域內,除了右下角,另外 3 個角落都有一個雙層大正方形用來定位。所以不論讀取時智慧型手機鏡頭是正著拍、反著拍、歪一邊拍 QR Code 條碼,應用程式都可辨識 QR Code 的方位。

QR Code 讀取速度快、又可在小範圍儲存大量資訊內容,因此現在越來越多場合都會使用 QR Code,讓有興趣的民眾輕鬆讀取更多內容。

▲ 現在有不少公司名片會附 QR Code,只要用智慧型手機掃描一下,就可以儲存名片資訊。圖為微軟的名片。(Source:Flickr/Michael Kappel CC BY 2.0)

設計之初就加工完成

究竟這種「偽裝 QR Code」如何做到「一個條碼連到兩個網站」呢?

森井教授指出,通常大家製作 QR Code 時,多半是利用免費的 QR Code 產生器網站,或委託專門的 QR Code 設計公司來設計。這種時候,假如這些免費 QR Code 產生器網站或業者別有用心,就可在設計時加一點工,製作一款「偽裝 QR Code」。

利用重複存取區域加工

QR Code 設計上,為了確保部分內容資料毀損也可讀取到正確資料,有些區域儲存的資料會重複。

而這種「偽裝 QR Code」通常就是利用這些重複存取相同資料的區域來加工。

還可以調整連錯網站的機率

森井教授表示,設計者在設計之初可調整這種「偽裝 QR Code」連到錯誤網站的機率,可能數百次或數千次才會有人連到錯誤的網站。因此,委託製作 QR Code 的人初期可能不覺有異。

森井教授也設計了一款「偽裝 QR Code」,畫面左邊是正常版本,只會連到森井教授實驗室的網站。畫面右側的「偽裝 QR Code」有 10%~20% 機率會連到「假」網站──森井教授事先做的另一個網頁。

等到發現時就來不及了

森井教授說,一直要等到設計好的 QR Code 送印或對外發表後,有使用者反映連到別人家網站去,這個時候發表者才會發現不對勁。然而,此時已經來不及回收這些發出去的「偽裝 QR Code」了。

▲ 2017 年 11 月,泰國曼谷(Bangkok)一家商店裡,擺著一個第三方支付的 QR Code 立牌。(Source:達志影像)

使用者可能沒發現連錯網站

森井教授也說到,如果這些「偽裝 QR Code」連結的錯誤網站,是有心人士特地仿造正常網頁設計的「假」網站,使用者很有可能完全不知道自己連錯網站了,甚至遇上詐欺。

NHK 則提到,如果是金融機構的網站遇上「偽裝 QR Code」,問題就會變得更嚴重。

在第三方支付條碼上貼假 QR Code

NHK 舉例,中國因為第三方支付很普及,買東西只要掃一下商品 QR Code 就可付款。曾有不少案例是有心人士在真的 QR Code 上貼假的 QR Code,有些消費者因此受騙。

▲ 森井教授建議,大家在選擇 QR Code 掃描 App 時,不要使用一掃到條碼就自動連上網站的 App,一定要先確認網址沒有問題,再連上網站才能確保安全。(Source:Unsplash

要慎選 QR Code 掃描器

雖然「偽裝 QR Code」本質上和這種「貼上去」的假 QR Code 手法不同,森井教授建議,大家在使用 QR Code 掃描 App 時,不要選擇一掃到 QR Code 就會自動連上網站的 App。

QR Code 掃描 App 讀取條碼內容後,一定要親眼確認跳出來的網址有沒有問題,再連到該網站是比較安全的作法。

森井教授也強調,QR Code 最大的缺點就是一般人沒有辦法一看到 QR Code 條碼,就能看出這個條碼寫什麼資訊在裡頭。所以連到 QR Code 存取的網站之前,一定要檢查連結網址是否正確。

(本文由 地球圖輯隊 授權轉載;首圖來源:Flickr/U.S. Fish and Wildlife Service Headquarters CC BY 2.0)