SQRL یک سامانه احراز هویت مبتنی بر کد QR است که به کاربران اجازه میدهد خیلی سریع و بدون به حافظه سپردن یا نوشتن نام کاربری و کلمه عبور وارد وبگاهی شوند.
کدهای QR، بارکدهایی دوبعدی هستند که حاوی اطلاعات بسیار زیادی مانند یک رمز به اشتراک گذاشته شده هستند. وبگاهی که سامانه احراز هویت مبتنی بر کد QR را اجرا میکند، کد QR را روی صفحهنمایش رایانه به نمایش میگذارد و هرکسی که بخواهد وارد وب شود میتواند کد را با یک برنامه در گوشی تلفن همراه اسکن کند. وقتیکه کد اسکن شد، کاربر میتواند بدون وارد کردن کلمه عبور و نام کاربری وارد وبگاه شود.
از آنجایی که کلمات عبور را میتوان با استفاده از یک keylogger، حمله مردمیانی (MitM) یا حتی حمله جستجوی فراگیر به دست آورد، کدهای QR را میتوان امن دانست چرا که بهطور تصادفی کد محرمانهای تولید میکند که برای هیچکسی قابلمشاهده نیست.
اما باید این را هم در نظر گرفت تا وقتیکه نفوذگرها انگیزه دارند، هیچ فناوریای در امان نیست.
QRLJacking: نفوذ به سامانه ورود مبتنی بر کد QR
محقق امنیتی Egyptian Information و مشاور امنیتی سایبری در شرکت Seekurity، محمد عبدالباسط النوبی با یک اثبات مفهومی، روش جدیدی را نشان داد که برای رخنه به حسابهایی استفاده میشود که از ویژگی ورود با کد QR بهعنوان یک راه امن برای ورود به حسابها استفاده میکنند.
این روش که QRLJacking (یا Quick Response code Login Jacking) نام دارد یک حمله ساده اما خطرناک است که روی تمامی برنامههای کاربردی که از ویژگی ورود با کد QR استفاده میکنند، تأثیر میگذارد. تنها چیزی یک مهاجم نیاز دارد راضی کردن قربانی برای اسکن کد QR مهاجم است.
روش QRLJacking چگونه عمل میکند؟
محمد عبدالباسط با اسکایپ چگونگی کارکرد این روش را بهطور کامل توضیح داده است. در ادامه چگونگی این حمله ذکر شده است:
مهاجم جلسه QR طرف مشتری را آغاز و کد QR ورودی را درون یک صفحه فیشینگ قرار میدهد. سپس مهاجم صفحه فیشینگ را برای قربانی میفرستد. اگر قربانی متقاعد شود، کد QR را با یک برنامه مخصوص گوشی همراه اسکن میکند. آن برنامهی گوشی همراه نیز رمز محرمانه را به خدمات موردنظر میفرستد تا فرآیند احراز هویت را تکمیل کند. در نتیجه مهاجم که بخش QR طرف مشتری را راهاندازی کرده، کنترل حساب قربانی را به دست میگیرد. سپس آن خدمات شروع به تبادل تمامی اطلاعات قربانی با جلسه مرورگر مهاجم میکند.
بنابراین برای یک حمله QRLJacking موفق، تمام چیزی که مهاجم نیاز دارد عبارتند از: یک اسکریپت روشنکننده کد QR و یک صفحه وب فیشینگ دستکاریشده