QRLJacking snyder brugeren ved autentifikation med QR-koder

Det er muligt at snyde web-services, der anvender QR-koder i forbindelse med login, har sikkerhedsforsker påvist.

Web-tjenester, hvor login kan foregå via en QR-kode, kan være sårbare over for hijacking-angreb, har sikkerhedsforsker Mohamed A. Baset fra Seekurity Labs påvist.

Teknikken har fået navnet QRLJacking (Quick Response Code Login Jacking). Baset beskriver QRLJacking nærmere i et indlæg på OWASP (Open Web Application Security Project).

Eksempelvis giver beskedtjenesten Whatsapp brugere mulighed for at logge ind på et web-interface. Det foregår ved at præsentere brugeren for en QR-kode på web.whatsapp.com.

Læs også: WhatsApp lancerer desktop-app

Brugeren skal så scanne koden via Whatsapp-app'en på mobiltelefonen. Herefter sker login til brugerens konto automatisk i browseren på computeren.

Tanken med denne form for login, skriver Baset, er at kombinere sikkerhed og brugervenlighed.

Men autentifikationsmetoden er sårbar, påpeger han.

Kopierer QR-kode

Hvis en angriber går ind på web.whatsapp.com, kopierer QR-koden til eksempelvis et phishing-site og får en bruger på sitet til at scanne koden via Whatsapp-appen, så bliver angriberen, der befinder sig på web.whatsapp.com, logget ind på tjenesten og brugerens konto.

Mohamed A. Baset har flere idéer til, hvordan en bruger kan narres til at scanne koden via Whatsapp-appen. Han har lagt flere Youtube-videoer op, der demonstrerer alt fra en simpel phishing-side til pop-ups indsat via angrebteknikken ARP-poisoning.

Hvad det sidstnævnte eksempel angår, demonstrerer Baset en pop-up på amazon.com, hvor brugeren bliver lovet et års gratis Whatsapp-service ved blot at scanne den kode, der bliver præsenteret i pop-uppen - og som angriberen altså har kopieret fra web.whatsapp.com.

I forhold til kopieringen foreslår Mohamed A. Baset et script, der automatisk kan opdatere QR-koden i pop-upboksen. QR-koden udløber nemlig med jævne mellemrum på web.whatsapp.com og skal genopfriskes.

Læs også: USA's justitsministerium vil have fingre i WhatsApp

Sikkerhedsforskeren kommer også med flere forslag til, hvordan der kan lukkes ned for angreb mod QR-autentifikationen. En af de muligheder, han nævner, er at forhindre autentifikationen, hvis telefon og computer befinder sig på to forskellige netværk.

Baset har identificeret adskillige tjenester inden for forskellige brancher, der er sårbare over for angrebsteknikken. På GitHub oplister han blandt andett WhatsApp, WeChat, Line, Weibo, QQ Instant Messaging, Alibaba, Aliexpress, Taobao, Tmall, 1688.com, Alimama, Taobao Trips, AirDroid, MyDigiPass, Zapper & Zapper WordPress Login by QR Code plugin, Trustly App, Yelophone og Alibaba Yunos

I et indlæg om emnet på den aggregerede nyhedstjeneste Slashdot diskuterer brugere blandt andet, hvorvidt problemet er en designfejl i QR-loginteknikken eller dårligt uddannede brugere.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Niels Callesøe

På den anden side er SQRL netop ikke fuldt released endnu, så diverse sites må indtil videre nøjes med svagere løsninger, hvis de gerne vil tilbyde QR-logins. Det bliver spændende at se hvor stor adoptionen af SQRL bliver, når der er en endelig løsning færdig senere i år.

  • 1
  • 0
Log ind eller Opret konto for at kommentere