Пятница, 20.10.2017, 17:12 Приветствую вас Гость | Группа "Гости" 


[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
Страница 1 из 11
Модератор форума: xXxSh@dowxXx 
delfcode » Обсуждения » Безопасность » QR code и его возможности (с точки зрения ][@keR'a)
QR code и его возможности
xXxSh@dowxXxДата: Четверг, 05.04.2012, 14:42 | Сообщение # 1
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
QR-код (англ. quick response — быстрый отклик) — матричный код (двухмерный штрихкод), разработанный и представленный японской компанией «Denso-Wave» в 1994 году.

Основное достоинство QR-кода — легкое распознавание сканирующим оборудованием (в том числе и фотокамерой мобильного телефона), что дает возможность использования в торговле, производстве, логистике. QR-коды больше всего распространены в Японии, стране, где штрих-коды пользовались такой большой популярностью, что объём информации, зашифрованной в коде, вскоре перестал устраивать индустрию. Японцы начали экспериментировать с новыми способами кодирования небольших объёмов информации в графической картинке. Уже в начале 2000 года QR-коды получили широкое распространение в Японии, их можно было встретить на большом количестве плакатов, упаковок и товаров.

Максимальное количество символов, которые помещаются в один QR-код:

цифры — 7089;
цифры и буквы (включая кириллицу) — 4296;
двоичный код — 2953 байт;
иероглифы — 1817.

Материал из Википедии - http://ru.wikipedia.org/wiki/QR-%D0%BA%D0%BE%D0%B4

Только вдумайтесь как давно это было, аж в 1994 году! wacko , а по настоящему и в полной мере о его возможностях заговорили и стали использовать только сейчас, с недавних пор QR code получил большое распространение и его начали вешать на всевозможные места (адресные вывески на зданиях в которых шифруется информация о доме и тп, музеи, рекламные щиты, плакаты, постеры, татуировки, изображения на футболке в виде QR code, в японии вобще некоторые используют их на могилах умерших что бы каждый мог узнать кучу информации об умершем, которая бы просто так не уместилась бы на гранитной плите, и еще многое другое...), где его только щас не используют, но что больше всего меня удивляет на данный момент, никто даже не задумался о его безопасности, ведь в нем можно зашифровать абсолютно любую информацию...

Так вот, как вы считаете активное развитие и распространение QR code может стать глобальной массовой уязвимостью?

я тут че та запарелся на счет изучения QR code , посмотрел видяхи, нашел сайт http://qrcoder.ru/ с которого можно вроде как даже смс отправлять, вобще судя по видяхе, в QR code можно зашифровать абсолютно любую фигню начиная от текста и заканчивая ссылками на видео потоки, трансляции, просто видео файлы, изображения, уязвимые ссылки, не говоря уже об експлоитах и тд.
впринципе это пока мало изучено но уже используется во многих сферах
мне кажется это открывает кучу новых возможностей для хакинга!!!

у кого какое мнение, было бы интересно узнать, может кто ближе знаком с этой удивительной на первый взгляд фиговинкой, давайте обсудим???


Сообщение отредактировал xXxSh@dowxXx - Четверг, 05.04.2012, 15:03
 
dolphinДата: Воскресенье, 08.04.2012, 21:52 | Сообщение # 2
Администратор
Сообщений: 902
Статус: Offline
Quote (xXxSh@dowxXx)
двоичный код — 2953 байт

Я бы смог свой файловый вирус запихнуть как раз
 
Волк-1024Дата: Воскресенье, 08.04.2012, 22:01 | Сообщение # 3
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 467
Статус: Offline
))) Просканил картинку и заразился... smile

Сообщение отредактировал Волк-1024 - Воскресенье, 08.04.2012, 22:15
 
xXxSh@dowxXxДата: Воскресенье, 08.04.2012, 23:00 | Сообщение # 4
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Quote (Волк-1024)
Просканил картинку и заразился...


в том то и суть..., единственное нужно всегда учитывать для какой системы ты пишешь вирус, для андроид, java, симбиан, или какой либо другой..., например в 2011 году по данным Лаборатории Касперского был зафиксирован, но вовремя предотвращен, рост атак на мобильные устройства с платформой андроид по средствам QR-code, метод атаки заключался в следующем:

Хацкер (назовем его так), разработал и написал небольшую троянскую программу использующую уязвимость в самой платформе андроид и эксплоит к ней, залил все это на заранее приготовленный адрес с редиректом, и закодировал ссылку в QR code, после чего распространил изображение с QR cod'ом в свободном доступе, учитывая нарастающий интерес к этому виду информации многие пользователи смартфонов с данной не обновленной платформой (андроид) попадающие под список уязвимых после сканирования QR кода переходя по ссылке автоматически устанавливали себе троянскую программу которая списывала со счета владельца 6$ и самоудалялась.

Но что самое интересное, так это то что например на компьютере постоянно работающем в интернете, мы всегда либо автоматически либо вручную обновляемся по мере выхода новых исправлений в системе, программном обеспечении, и самих обновлений, и то по данным статистики большинство пользователей (так называемые ламеры) не устанавливают обновления вовремя, либо не делают этого вовсе, теперь что же тут можно сказать о мобильных устройствах, учитывая что тот же самый пользователь уже покупает устройство определенной версии и уж темболее ему не приходит в голову его обновлять, как например андроид платформы, кто то покупает с версией 2.3.0 а кто то через пол года с выходом нового смартфона с новой версией в которой исправляют найденные уязвимости, естественно уязвимые пользователи со старой платформой они так и остаются уязвимыми, и таких пользователей немеренно!!!, не говоря уже о том что только единицы устанавливают себе на мобильные устройства антивирусные программы...

Единственный минус в данном методе с использованием QR code это то что все программы написанные для его расшифровки перед выполнением действия запрашивают разрешение у пользователя, продолжить переход по ссылке, либо отправлять смс на указанный номер или нет, единственное что я пока что не проверял так это текст, но скорее всего он просто показывается сразу и все, без запроса, так вот, почему бы не попробывать воспользоваться методом переполнения буфера и не поискать уязвимость в самой программе которая производит расшифровку текста и выводит его на экран, быть может сгенерировав определенный текст, можно составить запрос на выполнение или еще что либо...?


Сообщение отредактировал xXxSh@dowxXx - Воскресенье, 08.04.2012, 23:11
 
delfcode » Обсуждения » Безопасность » QR code и его возможности (с точки зрения ][@keR'a)
Страница 1 из 11
Поиск:

delfcode.ru © 2008 - 2017 Хостинг от uCoz