QRLJacking روش نفوذ به سامانه ورود مبتنی بر کد QR

01 تیر 1395
نویسنده :  

آیا می‌دانید که می‌توان با استفاده از یک سامانه احراز هویت کاملاً متفاوت اما سریع، به صحبت‌های واتس‌آپ، لاین و وی‌چت روی رایانه رومیزی کاربر دسترسی یافت؟

 

 SQRL یک سامانه احراز هویت مبتنی بر کد QR است که به کاربران اجازه می‌دهد خیلی سریع و بدون به حافظه سپردن یا نوشتن نام کاربری و کلمه عبور وارد وبگاهی شوند.

 

کدهای QR، بارکدهایی دوبعدی هستند که حاوی اطلاعات بسیار زیادی مانند یک رمز به اشتراک گذاشته شده هستند. وبگاهی که سامانه احراز هویت مبتنی بر کد QR را اجرا می‌کند، کد QR را روی صفحه‌نمایش رایانه به نمایش می‌گذارد و هرکسی که بخواهد وارد وب شود می‌تواند کد را با یک برنامه در گوشی تلفن همراه اسکن کند. وقتی‌که کد اسکن شد، کاربر می‌تواند بدون وارد کردن کلمه عبور و نام کاربری وارد وبگاه شود.

 

از آنجایی‌ که کلمات عبور را می‌توان با استفاده از یک keylogger، حمله مردمیانی (MitM) یا حتی حمله جستجوی فراگیر به دست آورد، کدهای QR را می‌توان امن دانست چرا که به‌طور تصادفی کد محرمانه‌ای تولید می‌کند که برای هیچ‌کسی قابل‌مشاهده نیست.

اما باید این را هم در نظر گرفت تا وقتی‌که نفوذگرها انگیزه دارند، هیچ فناوری‌ای در امان نیست.

QRLJacking: نفوذ به سامانه ورود مبتنی بر کد QR

محقق امنیتی Egyptian Information