QRLJacking روش نفوذ به سامانه ورود مبتنی بر کد QR

01 تیر 1395
نویسنده :  

آیا می‌دانید که می‌توان با استفاده از یک سامانه احراز هویت کاملاً متفاوت اما سریع، به صحبت‌های واتس‌آپ، لاین و وی‌چت روی رایانه رومیزی کاربر دسترسی یافت؟

 

 SQRL یک سامانه احراز هویت مبتنی بر کد QR است که به کاربران اجازه می‌دهد خیلی سریع و بدون به حافظه سپردن یا نوشتن نام کاربری و کلمه عبور وارد وبگاهی شوند.

 

کدهای QR، بارکدهایی دوبعدی هستند که حاوی اطلاعات بسیار زیادی مانند یک رمز به اشتراک گذاشته شده هستند. وبگاهی که سامانه احراز هویت مبتنی بر کد QR را اجرا می‌کند، کد QR را روی صفحه‌نمایش رایانه به نمایش می‌گذارد و هرکسی که بخواهد وارد وب شود می‌تواند کد را با یک برنامه در گوشی تلفن همراه اسکن کند. وقتی‌که کد اسکن شد، کاربر می‌تواند بدون وارد کردن کلمه عبور و نام کاربری وارد وبگاه شود.

 

از آنجایی‌ که کلمات عبور را می‌توان با استفاده از یک keylogger، حمله مردمیانی (MitM) یا حتی حمله جستجوی فراگیر به دست آورد، کدهای QR را می‌توان امن دانست چرا که به‌طور تصادفی کد محرمانه‌ای تولید می‌کند که برای هیچ‌کسی قابل‌مشاهده نیست.

اما باید این را هم در نظر گرفت تا وقتی‌که نفوذگرها انگیزه دارند، هیچ فناوری‌ای در امان نیست.

QRLJacking: نفوذ به سامانه ورود مبتنی بر کد QR

محقق امنیتی Egyptian Information و مشاور امنیتی سایبری در شرکت Seekurity، محمد عبدالباسط النوبی با یک اثبات مفهومی، روش جدیدی را نشان داد که برای رخنه به حساب‌هایی استفاده می‌شود که از ویژگی ورود با کد QR به‌عنوان یک راه امن برای ورود به حساب‌ها استفاده می‌کنند.

این روش که QRLJacking (یا Quick Response code Login Jacking) نام دارد یک حمله ساده اما خطرناک است که روی تمامی برنامه‌های کاربردی که از ویژگی ورود با کد QR استفاده می‌کنند، تأثیر می‌گذارد. تنها چیزی یک مهاجم نیاز دارد راضی کردن قربانی برای اسکن کد QR مهاجم است.

روش QRLJacking چگونه عمل می‌کند؟

 

محمد عبدالباسط با اسکایپ چگونگی کارکرد این روش را به‌طور کامل توضیح داده است. در ادامه چگونگی این حمله ذکر شده است:

مهاجم جلسه QR طرف مشتری را آغاز و کد QR ورودی را درون یک صفحه فیشینگ قرار می‌دهد. سپس مهاجم صفحه فیشینگ را برای قربانی می‌فرستد. اگر قربانی متقاعد شود، کد QR را با یک برنامه مخصوص گوشی همراه اسکن می‌کند. آن برنامه‌ی گوشی همراه نیز رمز محرمانه را به خدمات موردنظر می‌فرستد تا فرآیند احراز هویت را تکمیل کند. در نتیجه مهاجم که بخش QR طرف مشتری را راه‌اندازی کرده، کنترل حساب قربانی را به دست می‌گیرد. سپس آن خدمات شروع به تبادل تمامی اطلاعات قربانی با جلسه مرورگر مهاجم می‌کند.

 بنابراین برای یک حمله QRLJacking موفق، تمام چیزی که مهاجم نیاز دارد عبارتند از: یک اسکریپت روشن‌کننده کد QR و یک صفحه وب فیشینگ دستکاری‌شده

7344 تعداد بازدید
مدیر سایت

داود بریهی

مهندسین شبکه افزار سایان

  • اهواز - خیابان وهابی خ 19 شرقی پلاک 20
  • 061-33386011-13
  • 061-33374556
  • spambots

پیشنهادات خود را با ما در میان بگذارید

  ایمیل ارسال نشد   ایمیل با موفقیت ارسال شد