一個條碼連到兩個網站 當心遇到「偽裝QR code」

by:時時
10534

現在在生活周遭隨處都可以見到QR Code,從電子發票上的條碼、廣告上的網站連結、想要加一下LINE好友,只要掃一下QR Code即可,但你有沒有想過QR Code安全嗎? 

post title

圖為加拿大一名男子拿著他的智慧型手機,利用QR code掃描APP掃一下牆上條碼。

Photo: Pinky Joe

QR Code很方便,但肉眼讀不出來

隨著生活周遭有越來越多QR Code,只要使用智慧型手機或平板掃一下條碼,就能加好友、連到特定網站或買東西。

但一般人看到QR Code就是黑白方塊的組合,除非使用智慧型裝置的APP讀取條碼內容,否則光是看著這種二維條碼,也看不出來它究竟會連去哪個網站。

「一個條碼連到兩個網站」

最近,日本神戶大學資工系教授森井昌克發現,QR Code在設計上可以辦到「一個條碼連到兩個網站」的效果,而且設計這種QR Code的時候,還可以調整分別連去這兩種網站的頻率,讓特定比例的使用者一掃條碼就會跑到錯誤的網站。

post title

QR Code上只有一個角落上沒有雙層的正方形方塊,這讓QR Code不管是正著拍、倒著拍,QR Code掃描APP都能判別QR Code的方向,讀出正確的資料內容。

Photo: Lafayette College

小補充:二維條碼QR code

QR Code是一種二維條碼,在一塊正方形區域的編碼當中最多可以儲存 7,089位數字或 4,296個符號,隨著QR Code內的資料量越多,QR Code的尺寸就會越大。

在QR Code的正方形區域內,除了在右下角外,另外三個角落都有一個雙層大正方形可以用來定位。所以不論在讀取的時候,智慧型手機鏡頭是正著拍、反著拍、歪一邊拍QR Code的條碼,應用程式都可以輕鬆辨識出QR Code的方位。

QR Code讀取速度快、又可以在小範圍內儲存大量的資訊內容,因此現在有越來越多的場合都會使用QR Code,讓有興趣的民眾都能輕鬆讀取更多內容。

post title

圖為微軟公司的名片,現在有不少公司名片上會附有QR Code,只要利用智慧型手機掃描一下,就可以儲存名片上的資訊。

網友

在設計之初就加工完成

究竟這種「偽裝QR Code」是如何做到「一個條碼連到兩個網站」的呢?

森井教授指出,通常大家要製作QR Code的時候,多半是利用免費的QR Code產生器網站,或委託專門的QR Code設計公司來設計。這種時候,假如這些免費QR Code產生器網站或業者別有用心的話,就可以在設計上進行一點加工,製作出一款「偽裝QR Code」。

利用重複存取區域進行加工

QR Code在設計上,為了要確保部分內容資料出現毀損也可以被應用程式讀取到正確的資料,有些區域儲存的資料會有所重複。

而這種「偽裝QR Code」通常就是利用這些重複存取相同資料的區域進行加工。

還可以調整連錯網站的機率

森井教授表示,設計者在設計之初可以調整這種「偽裝QR Code」連到錯誤網站的機率,可能數百次或數千次才會有人連到錯誤的網站。因此,委託製作QR Code的人在初期可能不覺有異。

森井教授也設計了一款「偽裝QR Code」,畫面左邊是正常版本,只會連到森井教授實驗室的網站。而畫面右側的「偽裝QR Code」有 10-20%的機率會連到「假」的網站──森井教授事先製作好的另一個網頁。

等到發現時就來不及了

森井教授繼續說到,一直要等到設計好的QR Code送印或對外發布之後,有使用者反應連到別人家網站去,這個時候發布者才會發現不對勁。然而,此時已經來不及回收這些發布出去的「偽裝QR Code」了。

post title

圖為 2017年11月,在泰國曼谷(Bangkok)一家商店裡面,擺著一個第三方支付的QR Code立牌。

路透社

使用者可能沒發現連錯網站

森井教授也說到,如果這些「偽裝QR Code」連結的錯誤網站,是有心人士特地仿造正常網頁設計出來的「假」網站,使用者很有可能完全不知道自己連錯網站了,或甚至遇上詐欺。

NHK則提到,如果是金融機構的網站遇上「偽裝QR Code」,問題就會變得更為嚴重。

在第三方支付條碼上貼上假的QR Code

NHK舉例道,在中國因為第三方支付很普及,買東西只要掃一下商品上的QR Code就可以付款。曾有不少案例是有心人士在真的QR Code上面貼上假的QR Code,有些消費者因此而受騙。

post title

森井教授建議,大家在選擇QR Code掃描APP時,不要使用一掃到條碼就會自動連上網站的APP,一定要先確認過網址沒有問題,再連上網站才能確保安全。

Photo: Radovan

要慎選QR Code掃描器

雖然「偽裝QR Code」在本質上和這種「貼上去」的假QR Code在手法上不同,森井教授建議,大家在使用QR Code掃描APP的時候,不要選擇那種一掃到QR Code就會自動連到網站的APP。

在QR Code掃描APP讀取到條碼內容後,一定要自己先親眼確認一下跳出來的網址有沒有問題,再連到該網站是比較安全的作法。

森井教授也強調,QR Code最大的缺點就是一般人沒有辦法一看到QR Code的條碼,就能看出這個條碼裡面寫了什麼樣的資訊在裡頭。所以在連到QR Code存取的網站之前,一定要檢查過連結網址是否正確。


延伸閱讀:《出國沒網路不行? 到這15大熱門景點上網要小心
「唉呀!你的密碼應該要有大寫英文和數字」密碼專家:拋棄這種規定吧

參考資料:
01 QRコードにセキュリティー上の弱点 不正サイトに誘導も
02 気を付けろ!QRコードに脆弱性? その深刻さと騙されないための対策
03 Researchers: Security flaw in QR codes found
04 QR Code Basics