Какую информацию о владельце телефона можно узнать, если он сканировал QR-Code?

Сам по себе код "безопасен", но в него можно вложить например "открть страничку Х", "позвонить по телефону А", "соединить с сеткой Б", "переправить все голые фотки на сервер В" и т.д и т.п - отсюда и можно "узнать" что-то другое. Вобщем всё, что можно загнать в рамки 4,296 символов или 2952 бин-байтов (хотя тут ещё от версии зависит - https://blog.qr4.nl/page/QR-Code-Data-Capacity.aspx ), можно загнать в этот код, который ты отсканируешь.

К этому прибавляем саму программу-сканер, которая, например, может, при своём использовании, скачивать всю базу твоего телефона и отправлять её на Х-сервер разработчика. Ты ведь разрешил ей это делать путём "разрешить доступ к камере и файловой системе" когда инсталировал, да?

Ну а если добавить то, что регистрация симок уже много лет как с подтверждением личности, то и на дом можно выехать и по фото распознать если что. Так что фотографироваться на паспорт нужно строго в шапочке из фольги - иначе никак. Да, и обязательно с маской, а то Корона - сами понимаете... :)

этих "бесплатных" сканеров так много.. всё зависит от разработчика приложения,

а QR-генераторов развелось... можно любую информацию шифровать в этот код

Żywie Biełarus! Беларусь на пути перемен "Выходи гулять" --> https://youtu.be/aOnp0kfAr80

не любую, ретурны переменных яваскрипта мне так и не удалось подсунуть в код.

я для визиток делал

Żywie Biełarus! Беларусь на пути перемен "Выходи гулять" --> https://youtu.be/aOnp0kfAr80

н.п.

А тот, кто предлагает QR-Code для сканирования, может узнать о пользователе, который QR-Code сканировал:

IP-Adress, местонахождение (географические координаты), модель телефона и еще, что-либо о его владельце?

Можно ли заранее распознать предлагаемый для сканирования QR-Code - скажем так "простой" (перенаправление на какую-либо страницу с информацией)

или "замудренный" для вытаскивания как можно больше информации о владельце телефона

или совершения каких-либо непредполагаемых действий от его имени?

QR-Code это простой закодированный текст.

Что может узнать о вас автор книги, если вы прочитаете страницу. Фамилию, имя? Домашний адрес, телефон?

Какие действия он сможет совершить от вашего имени?

Вы путаете различный вещи:

1. Создатель QR кода
2. Сам QR Код
3. Место где расположен код
4. Программа для сканирования кода
5. Какие либо ссылки в QR коде

Номера 1 и 2 самостоятельно, абсолютно безвредны и никакой обратной линии от пользователя содержать в принципе не могут.

А вот 3, если это веб страница может передать владельцам многое, безотносительно того сканировали ли Вы код или нет.

П. 4 тоже может содержать вредоносный код, хотя для популярных программ практически нереально.

П. 5 может вести также на какой то "плохой сайт", но обычно автоматом переходов не происходит.

Какую информацию о владельце телефона можно узнать, если он сканировал QR-Code?

Вы имеете ввиду QR код как в России который ввели из-за ковида, чтобы знать кто контактировал? Вообще там закодирован какой-то текст, в данном случае идентификатор магазина, ресторана, итд.. Как-то читал вот эту статью https://www.securitylab.ru/news/433473.php ну может уже решили проблемы, я без понятия.

Если я кому-то отвечаю, это не значит что я ему симпатизирую, каждый остаётся при своём мнение Моя ФЛ Он и Она

Какую информацию о владельце телефона можно узнать, если он сканировал QR-Code?

Вы имеете ввиду QR код как в России который ввели из-за ковида, чтобы знать кто контактировал?
Вообще там закодирован какой-то текст, в данном случае идентификатор магазина, ресторана, итд..

Т.е. деталей вы никаких не знаете? Было бы интересно.

Как-то читал вот эту статью https://www.securitylab.ru/news/433473.php

Спасибо за статью.

Прочитал ее, но для сайта, который себя позиционирует как securitylab - статья вообще ни о чем, ни для обывателей, ни для специалистов.

Непонятно, зачем она была вообще написана?

Кроме как о перенаправлении на вредоносный сайт, ничего не сказано:

- как распознать "фальшивый" CR-Code

код является просто картинкой, и обычный пользователь
не может, глядя на изображение, сказать, что в коде содержится ссылка на вредоносный ресурс

- и борется ли кто-либо с этим и как?

Спасибо за статью.Прочитал ее, но для сайта, который себя позиционирует как securitylab - статья вообще ни о чем, ни для обывателей, ни для специалистов.Непонятно, зачем она была вообще написана?

Извиняюсь, когда я пишу я всё время сонный, потому-что постоянно сильнодействующие лекарства принимаю, который мне врач каждый месяц прописывает.

Т.е. деталей вы никаких не знаете? Было бы интересно.

я занимался в 2015 году где-то пол года с QR кодами, так-же в своей социальной сети я добавил генератор QR кода, но мне влом было в подробности доваться, т.к. заказчик торопил меня. Я был под давлением, QR библиотеку я быстро освоил, быстро стряпал App, а потом всё забыл, всё равно мне за это ничего не заплатили, вот и забыл. И с айти ушёл именно из-за QR кода, он сильно мои нервы подпортил, потому-что QR библиотека была очень капризной, т.к. это App постоянно вылетало.

Если я кому-то отвечаю, это не значит что я ему симпатизирую, каждый остаётся при своём мнение Моя ФЛ Он и Она

Вы путаете различный вещи:

1. Создатель QR кода
2. Сам QR Код

Правильно ли я понимаю то, что вы написали:

Номера 1 и 2 самостоятельно, абсолютно безвредны и никакой обратной линии от пользователя содержать в принципе не могут.

1. Создатель QR-Code (тот кто его создал) он может быть мне никогда и не станет известным, если он сам об этом явно не укажет.

2. В отношении самого QR-Code, там где пользователъ его видит (плакат, флайер, реклама, этикетка на товаре / посылке, где-то на самом сайте размещен)

пока я по нему не кликнул - естественно я не знаю, в чем он мне может быть полезен / бесполезен

или может / нет представлять какую-либо опасность, скрытый подвох.

Как я понял по описанию: создан QR-Code был в 1994 г. японской фирмой Denco Wave

https://www.bing.com/search?q=denso+wave+qr+code&src=IE-Se...

и изначально предназначался для передачи (читателю кода через его устройство сканирования / запоминания в этом устройстве) информации содержащей:

- до 7098 цифр

- или 4296 букв (более чем две страницы текста в формате листа А4).

В последствии содержание QR-Code было доработано (предположение) и стало содержать дополнительную информацию:

- видимую и расположенную внутри матрицы (квадрата) самого QR-Code или за ее пределами (пример см. в приложенном файле):

. какие-то картинки небольшого размера

. или короткий текст (напромер имя фирмы)

- невидимую (закодированнию) и что-то другое, например средство позволяющее направить читателя QR-Code на какую-то интернет страницу,

при этом без его согласия "вытаскивание" некоторой информацию о его компьютере / смартфоне.

Здесь моя фантазия о виде этой информации пока заканчивается.

Прикреплённые файлы

Вы путаете различный вещи:

3. Место где расположен код
4. Программа для сканирования кода
5. Какие либо ссылки в QR коде

Правильно ли я понимаю то, что вы написали:

А вот 3, если это веб страница может передать владельцам многое, безотносительно того сканировали ли Вы код или нет.

3. Если QR-Code не был вообще сосканирован; то вроде и никакой информации никто получить не может?

Мне кажется, что это логично. Нет действия, нет и последствий.

А вот если он сосканирован, то что и как может быть прочитано?

Например можно ли узнать конкретное место положение (географические координаты, если чтение QR-Code было с смартфона)?

П. 4 тоже может содержать вредоносный код, хотя для популярных программ практически нереально.

4. Ну это только дело совести создателей популярных программ или созсателей / владельцев интернет сайтов.

Или в правиле создания QR-Code стоят какие-то ограничения на то, что м/б запрошено от читателя QR-Code в т.ч. и без его разрешения на такое считывание?

П. 5 может вести также на какой то "плохой сайт", но обычно автоматом переходов не происходит.

5. Ну этого читатель QR-Code заранее не может знать и этому воспрепятствовать.

Как я понял, читатель QR-Code не может узнать:

- кому он принадлежит

- содержится ли в нем какая-то полезная информация

- или будет перенаправление на какой-либо сайт (может быть и безвредный)

- что может быть считано с его компьютера / смартфона?

Правильно ли я понимаю то, что вы написали:

Ну вот у вас есть книга с её автором. Насколько книга и автор опасны для вас?

Вроде бы что - набор бумажек с символами.

Но в определенное время, в определенном месте, за определенную книгу могли и расстрелять.

А если книга достаточно тяжела можно и по голове хорошо отмочить и в милиции хорошо людей поучить.

То бишь зависит от способа использования и интерпретации содержимого. Ну и как еще часто вам лично книга нанесла вред?

Эту аналогию, думаю, вполне можно применить и к QR коду

Единственный реальный шанс узнать о вас что-то - только переходом на стронний сайт. И не раньше, чем вы этот переход совершите.
Сканирование кода само по себе - безопасно. Наверняка есть аппы, показывающие его содержимое - вы вожете посмотреть все, что там есть.
Ну и наконец вряд ли сканировалка QR-кодов сразу осуществит переход, не спрашивая вас. Попробовал - Firefox спрашивает, идти ли по адресу из кода.

Поэтому рассматривайте QR-код так же, как обычную ссылку на сайт. Опасности те же.

Любой сайт в обычном случае узнает о вас (независимо от того, каким способом Вы получили ссылку на него, через QR или руками вбили) минимум информации -

версию браузера, ОС, возможно cookies, ранее установленные тем же сайтом, если вы там раньше уже бывали.
Доступа к вашей геолокации он не имеет если только явно не разрешить.
Правда в ссылку, закодированную в QR-коде можно включить аргументы, которые например будут идентифицировать место, где был нанесен этот код или конкретный экземпляр предмета, с которого его просканировали. Это легко увидеть глазами глядя на адрес ссылки.

Поиграйтесь тут - можно самому создавать разные QR коды, сканировать их прямо с экрана и проверять, как это работает.

Доступа к вашей геолокации он не имеет

Но имеет доступ к IP, по которому можно относительно приблизительно определить место.

Это да, имеет.

Доступа к вашей геолокации он не имеет
если только явно не разрешить.

Что означает явно разрешить?

Правда в ссылку, закодированную в QR-Code можно включить
аргументы, которые например будут идентифицировать место, где был нанесен этот код
или конкретный экземпляр предмета, с которого его просканировали.

Интересно о идентификация места, где был сканирован GR-Code: это координаты или с точностью до данного населенного пункта?

Это легко увидеть глазами глядя на адрес ссылки.

Не понял. что я могу увидеть глазами?

PS

Может я неправильно понял, но 4296 букв означает, что тому, кто сканирует текст (даже без перехода на какой-либо сайт)

можно чуть ли не статью / инструкцию до 2-х страниц показать Это могло быть использовано например теми, у которых еще нет интернет страницы.

Сколько не сканировал QR-Code в интернете - не разу не попался ни один, где был бы текст без какой-либо ссылки.

Может у вас есть пример такого QR-Code?

Что означает явно разрешить?

в настройках смартфона включён gps (гео-данные)

это координаты или с точностью до данного населенного пункта?

нет, это точка провайдера, откуда берете интернет, может быть точность + - 50-100км если деревушки

Может у вас есть пример такого QR-Code?

I live in France

Żywie Biełarus! Беларусь на пути перемен "Выходи гулять" --> https://youtu.be/aOnp0kfAr80

Что означает явно разрешить?

Не знаю деталей, как именно это реализовано. Иногда при посещении web-сайтов возникает всплывающий запрос, разрешить ли запрашиваемому сайту доступ к геолокации.
Т.е. телефон вас спрашивает, можно ли отослать эти данные, если они есть.
Напр. для Chrome: https://support.google.com/chrome/answer/142065?co=GENIE.P...

идентификация места, где был сканирован GR-Code: это координаты или с точностью до данного населенного пункта?

Если по IP - с точностью до города. Иногда информация об организации, чей IP, может уточнить место. Попробовал на телефоне - ошибается на пару километров.

Если это сделано аргументом при обращении к сайту, например что-то вида https://badsite.net?id=1235 те, кто рисовали код могут знать, что код с ID=1235 нанесен на стене дома №5 на Цветочной улице.
Если разрешен доступ к геолокации - координаты.

Не понял. что я могу увидеть глазами?

Ну если там ссылка с аргументами, как приведена выше - можно думать, что означают эти аргументы. Скорее всего именно так реализованы пояснения к экспонатам в музеях, которые сканируются по коду. Там, где нужно точно знать, с какого именно предмета сосканирован код.

не разу не попался ни один, где был бы текст без какой-либо ссылки.
Может у вас есть пример такого QR-Code?

Прикреплённые файлы

не разу не попался ни один, где был бы текст без какой-либо ссылки

Так а зачем народ обычно QR-Code выкладывает? Чтобы без проблем перейти туда куда надо.

Зачем кому то туда обычный текст кодировать, его можно и так прочитать.

Но вообще мне непонятна ваша подозрительность к QR-Кодам

Есть тысяча других способов узнать те же самые данные, которые вам не нравятся.

Если это сделано аргументом при обращении к сайту, например
что-то вида https://badsite.net?id=1235
те, кто рисовали код могут знать, что код с ID=1235 нанесен на стене дома №5 на Цветочной улице.

Ссылка к сожалению не открывается. Интересно было бы посмотреть на срхименты

QR-Code один и тот же, на аналогичных плакатах, но размещенных в разных местах города.

QR-Code сами создали в рекомендуемой вами программе? Спасибо.

не разу не попался ни один, где был бы текст без какой-либо ссылки

Так а зачем народ обычно QR-Code выкладывает? Чтобы без проблем перейти туда куда надо.

Зачем же тогда предусмотрено кодирования большого количества инфомации:

- до 7098 цифр

- или 4296 букв (более чем две страницы текста в формате листа А4).

Но вообще мне непонятна ваша подозрительность к QR-Кодам

Подозрительности никакой нет - хотелось бы просто знать,вообще читается или нет информация на плакате именно в том городе, где он размещен.

Есть тысяча других способов узнать те же самые данные, которые вам не нравятся.

Это я вообще не понял?

Ссылка к сожалению не открывается. Интересно было бы посмотреть на срхименты
QR-Code один и тот же, на аналогичных плакатах, но размещенных в разных местах города.

Ссылку я написал из головы, просто чтобы показать, как она может выглядеть.

Кстати написал не совсем верно, скорее там будет что-то типа https://badsite.net/evilscript?id=1235
На плакатах код наверняка будет одинаковый, их дорого печатать разными.

Большая емкость кода - почему бы и нет? Было бы вообще здорово, если бы она измерялась десятками мегабайт, чтобы туда можно было запаковать звук, фотографии, видео и тогда любой смог бы это читать на месте прямо без интернета. Технически все эти вложения кроме видео уже поддерживаются, но что можно уместить в несколько кб? Вот и приходится использовать ссылки.

Зачем же тогда предусмотрено кодирования большого количества информации

вы же читали историю для каких целей код создавался.

Вот на клавиатуре больше ста клавиш может быть, а сколько из них вы обычно используете?

вообще читается или нет информация на плакате именно в том городе, где он размещен

Это голубая мечта всех маркетологов

Это я вообще не понял

Я представлял, что Вы видите код неким монстром для кражи персональной информации.

Но к примеру, как только вы открыли любой сайт там автоматом записывает довольно большое количество данных о вашем устройстве.

операционная система, тип браузера, город/страна и т.п.

PS: Поддержка всяких вложений типа jpeg, mp3 и pdf открывает новые потенциальные дыры в безопасности, если в приложениях, которые обрабатывают эти вложения на клиентском устройстве есть уязвимости

Поиграйтесь тут - можно самому создавать разные QR коды, сканировать их прямо с экрана и проверять, как это работает.

Что-то я не совладал с созданием QR-Code большого размера - только пару строчек.

Да оказалось, что программа бесплатна толъко 14 дней.

Нельзя ли попросить (вас или кто-то еще откликнится) сделать

QR-Code с большим объемом вложенной информации (до 4296 символов - ок. 2х- страниц А4)

именно внутри его (до перехода по интернет ссылке на сайт):

- текстового

- типа jpeg, mp3 и pdf.

Хотелось бы, чтобы к QR-Code коду отдельно прилагалось текстовая информация, по которой по внешнему виду можно было бы увидеть, что содержит ?

Типа, как в прилагаемом файле:

Прикреплённые файлы