一個條碼連到兩個網站 當心遇到「偽裝QR code」
現在在生活周遭隨處都可以見到QR Code,從電子發票上的條碼、廣告上的網站連結、想要加一下LINE好友,只要掃一下QR Code即可,但你有沒有想過QR Code安全嗎?

圖為加拿大一名男子拿著他的智慧型手機,利用QR code掃描APP掃一下牆上條碼。
Photo: Pinky Joe
QR Code上只有一個角落上沒有雙層的正方形方塊,這讓QR Code不管是正著拍、倒著拍,QR Code掃描APP都能判別QR Code的方向,讀出正確的資料內容。
Photo: Lafayette College
圖為微軟公司的名片,現在有不少公司名片上會附有QR Code,只要利用智慧型手機掃描一下,就可以儲存名片上的資訊。
網友在設計之初就加工完成
究竟這種「偽裝QR Code」是如何做到「一個條碼連到兩個網站」的呢?
森井教授指出,通常大家要製作QR Code的時候,多半是利用免費的QR Code產生器網站,或委託專門的QR Code設計公司來設計。這種時候,假如這些免費QR Code產生器網站或業者別有用心的話,就可以在設計上進行一點加工,製作出一款「偽裝QR Code」。
利用重複存取區域進行加工
QR Code在設計上,為了要確保部分內容資料出現毀損也可以被應用程式讀取到正確的資料,有些區域儲存的資料會有所重複。
而這種「偽裝QR Code」通常就是利用這些重複存取相同資料的區域進行加工。
還可以調整連錯網站的機率
森井教授表示,設計者在設計之初可以調整這種「偽裝QR Code」連到錯誤網站的機率,可能數百次或數千次才會有人連到錯誤的網站。因此,委託製作QR Code的人在初期可能不覺有異。
QRコードにセキュリティー上の弱点 不正サイトに誘導も | NHKニュース https://t.co/Em1ntylt7b
— 森井昌克@神戸大学 (@prof_morii) 2018年6月23日
森井教授也設計了一款「偽裝QR Code」,畫面左邊是正常版本,只會連到森井教授實驗室的網站。而畫面右側的「偽裝QR Code」有 10-20%的機率會連到「假」的網站──森井教授事先製作好的另一個網頁。
等到發現時就來不及了
森井教授繼續說到,一直要等到設計好的QR Code送印或對外發布之後,有使用者反應連到別人家網站去,這個時候發布者才會發現不對勁。然而,此時已經來不及回收這些發布出去的「偽裝QR Code」了。

圖為 2017年11月,在泰國曼谷(Bangkok)一家商店裡面,擺著一個第三方支付的QR Code立牌。
路透社
森井教授建議,大家在選擇QR Code掃描APP時,不要使用一掃到條碼就會自動連上網站的APP,一定要先確認過網址沒有問題,再連上網站才能確保安全。
Photo: Radovan要慎選QR Code掃描器
雖然「偽裝QR Code」在本質上和這種「貼上去」的假QR Code在手法上不同,森井教授建議,大家在使用QR Code掃描APP的時候,不要選擇那種一掃到QR Code就會自動連到網站的APP。
在QR Code掃描APP讀取到條碼內容後,一定要自己先親眼確認一下跳出來的網址有沒有問題,再連到該網站是比較安全的作法。
森井教授也強調,QR Code最大的缺點就是一般人沒有辦法一看到QR Code的條碼,就能看出這個條碼裡面寫了什麼樣的資訊在裡頭。所以在連到QR Code存取的網站之前,一定要檢查過連結網址是否正確。
延伸閱讀:《出國沒網路不行? 到這15大熱門景點上網要小心》
《「唉呀!你的密碼應該要有大寫英文和數字」密碼專家:拋棄這種規定吧》
參考資料:
01 QRコードにセキュリティー上の弱点 不正サイトに誘導も
02 気を付けろ!QRコードに脆弱性? その深刻さと騙されないための対策
03 Researchers: Security flaw in QR codes found
04 QR Code Basics
回應: