【QR Crisis】QR Code強勢回歸 竟有重大資安漏洞?
很多人、事、計劃因疫情而流逝,但又有少數事強勢回歸,QR Code 就係好例子。廿年歷史以上的進取企業,相信 Archive 都有至少一份 QR Code Proposal,不過當年瞬間被社交平台與各種無線傳輸技術淹沒,淪為倉管,直到社交距離成為 New Normal,QR Code 重出江湖,擔當企業 Digitization 的一環,讓消費者 Access 餐廳 Menu 或購物 Coupon。眼見 QR Code 突然爆紅,資安平台 MobileIron 訪問超過 2,100 位美國與英國人,整合用家使用習慣與 QR Code 的資安風險管理 ,黑客看過這份報告,應該相當鼓舞。
首先調查預測,2020 年美國有 1.1 千萬家庭會掃 QR Code,當中 71% 並沒留意潛在風險。QR 全名 Quick Response Code,一切以快為先,大眾缺乏防備意識下,隨時比最難防的 Phishing 更毒,幾秒就足以偷走銀行戶口 Login 與 Password、下載惡意程式、滲透企業網絡等。
受訪者中,84% 曾掃描 QR Code,64% 認為 QR Code 令生活更方便,53% 希望 QR Code 未來繼續普及,47% 明顯在疫情下更常掃描 QR Code,而過去一周與一個月曾掃描 QR Code 的受訪者分別佔 32% 與 26%。這部分充分反映 QR Code 即將普及化,但用戶是否清楚其風險?
2,100 位受訪者中,17% 曾被不明 QR Code 帶到可疑網站,67% 能分辨惡意 URL 但不足 30% 懂分辨惡意 QR Code,67.5% 認為黑客不會透過 QR Code 入侵,而同樣比例受訪者曾掃描 QR Code 後出現預期之外的結果。這反映大眾輕視 QR Code 資安風險,更不清楚黑客如何利用 QR Code,甚至有 40% 受訪者表示願意掃描選舉郵件內附的 QR Code 網站投票。
American Express 數據指出,QR Code 在 2020 年錄得破記錄式增長,躋身成為主流付款技術。亞太地區發展早在疫情前已經成熟,日本與中國在交易總額上則領導全球。MobileIron 調查所得,27% 英美人士曾使用 QR Code 完成交易,43% 預計未來將會透過 QR Code 進行交易。過去 6 個月內,分別有 38%、37% 與 32% 人士在在餐廳、商店與商品上掃描 QR Code。以上環境,加上 Apple Wallet 將增加 QR Code 付款功能,給予黑客極大誘因發動 QR Code 攻擊。
MobileIron 研究發現以下 10 種透過 QR Code 簡單入侵手機手法,而有趣地有用戶誤會入侵所引發的異常行為是由自己造成。
通訊錄
透過 QR Code 黑客可以在手機建立全新通訊錄,如其中有惡意聯絡訊息,手機將有被濫用的風險。
打電話
QR Code 可以操控手機撥號,令手機號碼曝露給黑客。只有 20% 受訪者留意 QR Code 含撥號指示。
發短訊
QR Code 可以自動編寫短訊給指定接收人,如用戶不慎發出,有機會向黑客曝露身份,手機亦同時有機會被濫用。只有 24% 受訪者相信 QR Code 可發短訊。
寫郵件
如短訊一樣,QR Code 可以自動起草電郵,不慎發出則極有機會受到釣魚攻擊。只有 19% 受訪者知道 QR Code 有此功能。
附款
QR Code Payment 獲廣泛應用,如該 QR Code 屬惡意,用戶的戶口與個人資料將會被黑客接收。
位置
QR Code 可以把用戶所在位置發送到指定 App,黑客可透過 App 獲取位置資訊。
網頁
開網頁乃 QR Code 另一廣泛用途,如被轉送至可疑網站,有機會被逼接收噁心內容,亦有機會引致手機被濫用。
行事曆
QR Code 可以在行事曆上添加日程,而該日程的與會者有機會不當獲取用戶行事曆其他資訊。
社交平台
用戶可在 Line 上掃描 QR Code 新增朋友,如 QR Code 屬惡意,用戶有機會被強逼 Follow 陌生帳號。
無線上網
掃描 QR Code 後可自動連線 Wifi 網絡,如連繫了惡意網絡,將大幅增加手機被濫用的風險。
手機承載著用戶身份與資訊外,同時管控用戶的網絡人生,連繫其家人、朋友、工作、社交平台與理財帳戶,企業提供的手機又連繫著企業網絡,可見當今手機的重要性,絕不比個人電腦低,偏偏手機資安服務卻未獲對等關注。大家掃描 QR Code 同時,又會用手機通過雲遠程工作,黑客有太多機會下手。MobileIron Global Vice President of Solution 的 Alex Mosher 認為,不論對外與對內,企業都要正視 QR Code 潛在風險,平衡資安與便利的無縫用戶體驗,同時計算在生產力最大化之下,怎樣強化 Unified Endpoint Management(UEM)執行資安策略。MobileIron 的 UEM 方案採用去密碼多重身份認證,其 Mobile Threat Defense(MTD)有多種功能,包括限制授權用家登入指定裝置、app、服務平台,核實網絡等,有效應付 QR Code 潛在風險。
資料來源:https://bit.ly/3cGO3dB、https://bit.ly/3cGngOy
