SearchCIO
SearchNetworking
SearchSecurity
01net.NETS
Sicurezza
Qr Code: comodi ma anche pericolosi
Una disamina dei codici pensati per indirizzare gli utenti alle informazioni, ma chevengono sempre più utilizzati per exploit di social engineering.
13 Aprile 2012
I codici Qr rappresentano un punto di passaggio dal mondo offline a quello online. Grazie alla semplice scansione del codice attraverso uno smartphone, è possibile accedere rapidamente ai contenuti digitali innescati da tale codice indirizzando facilmente gli utenti verso informazioni e servizi. Inoltre posseggono un elemento di fascino e curiosità, poiché offrono agli utenti la comodità del point-and-browse.
Tuttavia per Rodolfo Falcone, Country manager di Check Point Software, proprio queste peculiarità li rendono appetibili anche agli occhi degli hacker che li utilizzano come strumento di ingegneria sociale, sfruttando l'interesse e la fiducia degli utenti, che vengono poi indirizzati a siti web dannosi o ricchi di malware.
Se da un lato è assodato che i drive-by download siano una tattica malevola per sottrarre i dati degli utenti quando questi navigano su web, dall'altro, i codici Qr offrono in maniera analoga una nuova modalità per manipolare i consumatori che utilizzano dispositivi mobili.
Il problema con i codici Qr, per Falcone, è che costringono gli utenti a fidarsi dell'integrità del codice del provider e li inducono a supporre che la destinazione cui vengono indirizzati sia legittima. È praticamente impossibile accorgersene, perché il codice Qr nasconde il sito ed i contenuti a cui si viene indirizzati.
Nonostante gli exploit di social engineering si siano evoluti dai vecchi worm di posta elettronica, si basano tutt'ora sulla curiosità umana che, inducendo a vedere cosa potrebbe succedere cliccando su un allegato, o quando un codice Qr viene sottoposto a scansione, spesso va a generare problemi legati alla sicurezza.
Inoltre, le applicazioni di Qr code-scanning che girano su smartphone sono in grado di offrire un link diretto ad altre funzioni quali posta elettronica, Sms, servizi basati sulla localizzazione e installazioni di applicazioni, ampliando così la gamma dei possibili rischi per i dispositivi mobili.
Come si fa un exploit
Vediamo allora come un eventuale exploit basato su codice Qr potrebbe essere creato e come sia possibile difendersi.
Il primo passo per la realizzazione di un exploit Qr, spiega Falcone, è distribuire il codice stesso facendolo giungere alle potenziali vittime.
Questo può accadere inserendo il codice Qr in una e-mail, rendendolo così un caso di phishing avanzato, o mediante la distribuzione di documenti fisici apparentemente convincenti con un codice Qr stampato o persino su adesivi applicati a cartelloni pubblicitari veri e propri. Una volta inoltrato il codice Qr, l'hacker ha a disposizione numerose opzioni di truffa tra cui scegliere.
A livello base, il codice potrebbe semplicemente reindirizzare gli utenti verso siti fasulli a scopi di phishing come negozi online o siti di pagamento falsi.
Exploit più sofisticati vengono perpetrati dagli hacker utilizzando il codice Qr per indirizzare gli utenti a siti web che automaticamente effettueranno un accesso non autorizzato (jailbreak) al loro dispositivo mobile, ovvero permetteranno un accesso root al sistema operativo del dispositivo installando malware.
Si tratta sostanzialmente di un attacco di drive-by download sul dispositivo, che consente di installare ulteriori software o applicazioni come key logger e localizzatori Gps, all'insaputa dell'utente e senza permesso.
Forse, per Falcone, il più grande rischio potenziale per gli utenti è legato all'utilizzo crescente di smartphone per pagamenti e operazioni di mobile banking. La capacità dei codici Qr di aprire i dispositivi e accedere alle applicazioni potrebbe offrire agli hacker l'opportunità di entrare nei portafogli mobili soprattutto nel caso in cui esistano già - e siano in uso - soluzioni di pagamento basate su Qr.
Se queste soluzioni sono ancora piuttosto rare, sono destinate comunque a crescere, vista la diffusione sempre maggiore dei codici Qr.
Quali rimedi
Dunque, cosa possono fare aziende e singoli utenti per ridurre i rischi derivanti dai codici Qr? La principale precauzione, suggerisce Falcone, è quella di essere in grado di stabilire esattamente quale link o risorsa il codice Qr stia per lanciare quando viene sottoposto a scansione.
Alcune, ma non tutte, applicazioni di scansione Qr offrono questa visibilità e, in modo critico, chiedono all'utente di confermare l'azione.
Questo offre la possibilità agli utenti di valutare la validità del link prima che il codice venga attivato. Per gli smartphone aziendali è consigliabile prendere in considerazione l'implementazione di crittografia dei dati in modo tale che, anche nel caso in cui un codice dannoso Qr dovesse riuscire ad installare un Trojan sul dispositivo, i dati sensibili risultino ancora protetti e non immediatamente accessibili o utilizzabili da parte di hacker.
In conclusione, i codici Qr possono rappresentare una nuova risorsa rispetto a strumenti e trucchi di hacking ben consolidati. Le regole fondamentali relative alla sicurezza sono le solite: agire con cautela e cifrare i dati ove possibile.
Tuttavia per Rodolfo Falcone, Country manager di Check Point Software, proprio queste peculiarità li rendono appetibili anche agli occhi degli hacker che li utilizzano come strumento di ingegneria sociale, sfruttando l'interesse e la fiducia degli utenti, che vengono poi indirizzati a siti web dannosi o ricchi di malware.
Se da un lato è assodato che i drive-by download siano una tattica malevola per sottrarre i dati degli utenti quando questi navigano su web, dall'altro, i codici Qr offrono in maniera analoga una nuova modalità per manipolare i consumatori che utilizzano dispositivi mobili.
Il problema con i codici Qr, per Falcone, è che costringono gli utenti a fidarsi dell'integrità del codice del provider e li inducono a supporre che la destinazione cui vengono indirizzati sia legittima. È praticamente impossibile accorgersene, perché il codice Qr nasconde il sito ed i contenuti a cui si viene indirizzati.
Nonostante gli exploit di social engineering si siano evoluti dai vecchi worm di posta elettronica, si basano tutt'ora sulla curiosità umana che, inducendo a vedere cosa potrebbe succedere cliccando su un allegato, o quando un codice Qr viene sottoposto a scansione, spesso va a generare problemi legati alla sicurezza.
Inoltre, le applicazioni di Qr code-scanning che girano su smartphone sono in grado di offrire un link diretto ad altre funzioni quali posta elettronica, Sms, servizi basati sulla localizzazione e installazioni di applicazioni, ampliando così la gamma dei possibili rischi per i dispositivi mobili.
Come si fa un exploit
Vediamo allora come un eventuale exploit basato su codice Qr potrebbe essere creato e come sia possibile difendersi.
Il primo passo per la realizzazione di un exploit Qr, spiega Falcone, è distribuire il codice stesso facendolo giungere alle potenziali vittime.
Questo può accadere inserendo il codice Qr in una e-mail, rendendolo così un caso di phishing avanzato, o mediante la distribuzione di documenti fisici apparentemente convincenti con un codice Qr stampato o persino su adesivi applicati a cartelloni pubblicitari veri e propri. Una volta inoltrato il codice Qr, l'hacker ha a disposizione numerose opzioni di truffa tra cui scegliere.
A livello base, il codice potrebbe semplicemente reindirizzare gli utenti verso siti fasulli a scopi di phishing come negozi online o siti di pagamento falsi.
Exploit più sofisticati vengono perpetrati dagli hacker utilizzando il codice Qr per indirizzare gli utenti a siti web che automaticamente effettueranno un accesso non autorizzato (jailbreak) al loro dispositivo mobile, ovvero permetteranno un accesso root al sistema operativo del dispositivo installando malware.
Si tratta sostanzialmente di un attacco di drive-by download sul dispositivo, che consente di installare ulteriori software o applicazioni come key logger e localizzatori Gps, all'insaputa dell'utente e senza permesso.
Forse, per Falcone, il più grande rischio potenziale per gli utenti è legato all'utilizzo crescente di smartphone per pagamenti e operazioni di mobile banking. La capacità dei codici Qr di aprire i dispositivi e accedere alle applicazioni potrebbe offrire agli hacker l'opportunità di entrare nei portafogli mobili soprattutto nel caso in cui esistano già - e siano in uso - soluzioni di pagamento basate su Qr.
Se queste soluzioni sono ancora piuttosto rare, sono destinate comunque a crescere, vista la diffusione sempre maggiore dei codici Qr.
Quali rimedi
Dunque, cosa possono fare aziende e singoli utenti per ridurre i rischi derivanti dai codici Qr? La principale precauzione, suggerisce Falcone, è quella di essere in grado di stabilire esattamente quale link o risorsa il codice Qr stia per lanciare quando viene sottoposto a scansione.
Alcune, ma non tutte, applicazioni di scansione Qr offrono questa visibilità e, in modo critico, chiedono all'utente di confermare l'azione.
Questo offre la possibilità agli utenti di valutare la validità del link prima che il codice venga attivato. Per gli smartphone aziendali è consigliabile prendere in considerazione l'implementazione di crittografia dei dati in modo tale che, anche nel caso in cui un codice dannoso Qr dovesse riuscire ad installare un Trojan sul dispositivo, i dati sensibili risultino ancora protetti e non immediatamente accessibili o utilizzabili da parte di hacker.
In conclusione, i codici Qr possono rappresentare una nuova risorsa rispetto a strumenti e trucchi di hacking ben consolidati. Le regole fondamentali relative alla sicurezza sono le solite: agire con cautela e cifrare i dati ove possibile.
Rss