QR-Code и информация о владельце телефона
Сам по себе код "безопасен", но в него можно вложить например "открть страничку Х", "позвонить по телефону А", "соединить с сеткой Б", "переправить все голые фотки на сервер В" и т.д и т.п - отсюда и можно "узнать" что-то другое. Вобщем всё, что можно загнать в рамки 4,296 символов или 2952 бин-байтов (хотя тут ещё от версии зависит - https://blog.qr4.nl/page/QR-Code-Data-Capacity.aspx ), можно загнать в этот код, который ты отсканируешь.
К этому прибавляем саму программу-сканер, которая, например, может, при своём использовании, скачивать всю базу твоего телефона и отправлять её на Х-сервер разработчика. Ты ведь разрешил ей это делать путём "разрешить доступ к камере и файловой системе" когда инсталировал, да?
Ну а если добавить то, что регистрация симок уже много
лет как с подтверждением личности, то и на дом можно выехать и по фото распознать если что. Так что фотографироваться на паспорт нужно строго в шапочке из фольги - иначе никак. Да, и обязательно с маской, а то Корона - сами понимаете... :)
этих "бесплатных" сканеров так много.. всё зависит от разработчика приложения,
а QR-генераторов развелось... можно любую информацию шифровать в этот код
я для визиток делал
н.п.
А тот, кто предлагает QR-Code для сканирования, может узнать о пользователе, который QR-Code сканировал:
IP-Adress, местонахождение (географические координаты), модель телефона и еще, что-либо о его владельце?
Можно ли заранее распознать предлагаемый для сканирования QR-Code - скажем так "простой" (перенаправление на какую-либо страницу с информацией)
или "замудренный" для вытаскивания как можно больше информации о владельце телефона
или совершения каких-либо непредполагаемых действий от его имени?
QR-Code это простой закодированный текст.
Что может узнать о вас автор книги, если вы прочитаете страницу. Фамилию, имя? Домашний адрес, телефон?
Какие действия он сможет совершить от вашего имени?
Фашизм будет разбит
Человека карают только те боги, в которых он верит
Вы путаете различный вещи:
- Создатель QR кода
- Сам QR Код
- Место где расположен код
- Программа для сканирования кода
- Какие либо ссылки в QR коде
Номера 1 и 2 самостоятельно, абсолютно безвредны и никакой обратной линии от пользователя содержать в принципе не могут.
А вот 3, если это веб страница может передать владельцам многое, безотносительно того сканировали ли Вы код или нет.
П. 4 тоже может содержать вредоносный код, хотя для популярных программ практически нереально.
П. 5 может вести также на какой то "плохой сайт", но обычно автоматом переходов не происходит.
Какую информацию о владельце телефона можно узнать, если он сканировал QR-Code?
Вы имеете ввиду QR код как в России который ввели из-за ковида, чтобы знать кто контактировал? Вообще там закодирован какой-то текст, в данном случае идентификатор магазина, ресторана, итд.. Как-то читал вот эту статью https://www.securitylab.ru/news/433473.php ну может уже решили проблемы, я без понятия.
Какую информацию о владельце телефона можно узнать, если он сканировал QR-Code?
Вы имеете ввиду QR код как в России который ввели из-за ковида, чтобы знать кто контактировал?
Вообще там закодирован какой-то текст, в данном случае идентификатор магазина, ресторана, итд..
Т.е. деталей вы никаких не знаете? Было бы интересно.
Как-то читал вот эту статью https://www.securitylab.ru/news/433473.php
Спасибо за статью.
Прочитал ее, но для сайта, который себя позиционирует как securitylab - статья вообще ни о чем, ни для обывателей, ни для специалистов.
Непонятно, зачем она была вообще написана?
Кроме как о перенаправлении на вредоносный сайт, ничего не сказано:
- как распознать "фальшивый" CR-Code
код является просто картинкой, и обычный пользователь
не может, глядя на изображение, сказать, что в коде содержится ссылка на вредоносный ресурс
- и борется ли кто-либо с этим и как?
Спасибо за статью.Прочитал ее, но для сайта, который себя позиционирует как securitylab - статья вообще ни о чем, ни для обывателей, ни для специалистов.Непонятно, зачем она была вообще написана?
Извиняюсь, когда я пишу я всё время сонный, потому-что постоянно сильнодействующие лекарства принимаю, который мне врач каждый месяц прописывает.
Т.е. деталей вы никаких не знаете? Было бы интересно.
я занимался в 2015 году где-то пол года с QR кодами, так-же в своей социальной сети я добавил генератор QR кода, но мне влом было в подробности доваться, т.к. заказчик торопил меня. Я был под давлением, QR библиотеку я быстро освоил, быстро стряпал App, а потом всё забыл, всё равно мне за это ничего не заплатили, вот и забыл. И с айти ушёл именно из-за QR кода, он сильно мои нервы подпортил, потому-что QR библиотека была очень капризной, т.к. это App постоянно вылетало.
Вы путаете различный вещи:
- Создатель QR кода
- Сам QR Код
Правильно ли я понимаю то, что вы написали:
Номера 1 и 2 самостоятельно, абсолютно безвредны и никакой обратной линии от пользователя содержать в принципе не могут.
1. Создатель QR-Code (тот кто его создал) он может быть мне никогда и не станет известным, если он сам об этом явно не укажет.
2. В отношении самого QR-Code, там где пользователъ его видит (плакат, флайер, реклама, этикетка на товаре / посылке, где-то на самом сайте размещен)
пока я по нему не кликнул - естественно я не знаю, в чем он мне может быть полезен / бесполезен
или может / нет представлять какую-либо опасность, скрытый подвох.
Как я понял по описанию: создан QR-Code был в 1994 г. японской фирмой Denco Wave
https://www.bing.com/search?q=denso+wave+qr+code&src=IE-Se...
и изначально предназначался для передачи (читателю кода через его устройство сканирования / запоминания в этом устройстве) информации содержащей:
- до 7098 цифр
- или 4296 букв (более чем две страницы текста в формате листа А4).
В последствии содержание QR-Code было доработано (предположение) и стало содержать дополнительную информацию:
- видимую и расположенную внутри матрицы (квадрата) самого QR-Code или за ее пределами (пример см. в приложенном файле):
. какие-то картинки небольшого размера
. или короткий текст (напромер имя фирмы)
- невидимую (закодированнию) и что-то другое, например средство позволяющее направить читателя QR-Code на какую-то интернет страницу,
при этом без его согласия "вытаскивание" некоторой информацию о его компьютере / смартфоне.
Здесь моя фантазия о виде этой информации пока заканчивается.
Вы путаете различный вещи:
- Место где расположен код
- Программа для сканирования кода
- Какие либо ссылки в QR коде
Правильно ли я понимаю то, что вы написали:
А вот 3, если это веб страница может передать владельцам многое, безотносительно того сканировали ли Вы код или нет.
3. Если QR-Code не был вообще сосканирован; то вроде и никакой информации никто получить не может?
Мне кажется, что это логично. Нет действия, нет и последствий.
А вот если он сосканирован, то что и как может быть прочитано?
Например можно ли узнать конкретное место положение (географические координаты, если чтение QR-Code было с смартфона)?
П. 4 тоже может содержать вредоносный код, хотя для популярных программ практически нереально.
4. Ну это только дело совести создателей популярных программ или созсателей / владельцев интернет сайтов.
Или в правиле создания QR-Code стоят какие-то ограничения на то, что м/б запрошено от читателя QR-Code в т.ч. и без его разрешения на такое считывание?
П. 5 может вести также на какой то "плохой сайт", но обычно автоматом переходов не происходит.
5. Ну этого читатель QR-Code заранее не может знать и этому воспрепятствовать.
Как я понял, читатель QR-Code не может узнать:
- кому он принадлежит
- содержится ли в нем какая-то полезная информация
- или будет перенаправление на какой-либо сайт (может быть и безвредный)
- что может быть считано с его компьютера / смартфона?
Правильно ли я понимаю то, что вы написали:
Ну вот у вас есть книга с её автором. Насколько книга и автор опасны для вас?
Вроде бы что - набор бумажек с символами.
Но в определенное время, в определенном месте, за определенную книгу могли и расстрелять.
А если книга достаточно тяжела можно и по голове хорошо отмочить и в милиции хорошо людей поучить.
То бишь зависит от способа использования и интерпретации содержимого. Ну и как еще часто вам лично книга нанесла вред?
Эту аналогию, думаю, вполне можно применить и к QR коду
Единственный реальный шанс узнать о вас что-то - только переходом на стронний сайт. И не раньше, чем вы этот переход совершите.
Сканирование кода само по себе - безопасно. Наверняка есть аппы, показывающие его содержимое - вы вожете посмотреть все, что там есть.
Ну и наконец вряд ли сканировалка QR-кодов сразу осуществит переход, не спрашивая вас. Попробовал - Firefox спрашивает, идти ли по адресу из кода.
Поэтому рассматривайте QR-код так же, как обычную ссылку на сайт. Опасности те же.
Любой сайт в обычном случае узнает о вас (независимо от того, каким способом Вы получили ссылку на него, через QR или руками вбили) минимум информации -
версию браузера, ОС, возможно cookies, ранее установленные тем же сайтом, если вы там раньше уже бывали.
Доступа к
вашей геолокации он не имеет если только явно не разрешить.
Правда в ссылку, закодированную в QR-коде можно включить аргументы, которые например будут идентифицировать место, где был нанесен этот код или конкретный экземпляр предмета, с которого его просканировали. Это легко увидеть глазами глядя на адрес ссылки.
Поиграйтесь тут - можно самому создавать разные QR коды, сканировать их прямо с экрана и проверять, как это работает.
Доступа к вашей геолокации он не имеет
если только явно не разрешить.
Что означает явно разрешить?
Правда в ссылку, закодированную в QR-Code можно включить
аргументы, которые например будут идентифицировать место, где был нанесен этот код
или конкретный экземпляр предмета, с которого его просканировали.
Интересно о идентификация места, где был сканирован GR-Code: это координаты или с точностью до данного населенного пункта?
Это легко увидеть глазами глядя на адрес ссылки.
Не понял. что я могу увидеть глазами?
PS
Может я неправильно понял, но 4296 букв означает, что тому, кто сканирует текст (даже без перехода на какой-либо сайт)
можно чуть ли не статью / инструкцию до 2-х страниц показать Это могло быть использовано например теми, у которых еще нет интернет страницы.
Сколько не сканировал QR-Code в интернете - не разу не попался ни один, где был бы текст без какой-либо ссылки.
Может у вас есть пример такого QR-Code?
Что означает явно разрешить?
в настройках смартфона включён gps (гео-данные)
это координаты или с точностью до данного населенного пункта?
нет, это точка провайдера, откуда берете интернет, может быть точность + - 50-100км если деревушки
Может у вас есть пример такого QR-Code?
I live in France
Что означает явно разрешить?
Не знаю деталей, как именно это реализовано. Иногда при посещении web-сайтов возникает всплывающий запрос, разрешить ли запрашиваемому сайту доступ к геолокации.
Т.е. телефон вас спрашивает, можно ли отослать эти данные, если они есть.
Напр. для Chrome: https://support.google.com/chrome/answer/142065?co=GENIE.P...
идентификация места, где был сканирован GR-Code: это координаты или с точностью до данного населенного пункта?
Если по IP - с точностью до города. Иногда информация об организации, чей IP, может уточнить место. Попробовал на телефоне - ошибается на пару километров.
Если это сделано аргументом при обращении к сайту, например что-то вида https://badsite.net?id=1235 те, кто рисовали код могут знать, что код с ID=1235 нанесен на стене дома №5 на Цветочной улице.
Если разрешен доступ к геолокации - координаты.
Не понял. что я могу увидеть глазами?
Ну если там ссылка с аргументами, как приведена выше - можно думать, что означают эти аргументы. Скорее всего именно так реализованы пояснения к экспонатам в музеях, которые сканируются по коду. Там, где нужно точно знать, с какого именно предмета сосканирован код.
не разу не попался ни один, где был бы текст без какой-либо ссылки.
Может у вас есть пример такого QR-Code?