Сказки о безопасности: QR-код на ужин

Сказки о безопасности: QR-код на ужин

Марк заказал столик на вечер в своем любимом ресторане «У старины Сэма». Он собирался пойти туда вместе с красавицей Анной, с которой недавно стал работать в одной лаборатории.

Потихоньку наступил вечер.

— Привет, Анна! Напоминаю!

— Я помню. В 20-00 «У старины Сэма». Я не пропущу такое приглашение. Говорят, там новое меню.

— Приедем, посмотрим.

Вот и вечер. Марк приехал на 10 минут раньше.

— Добрый вечер! Вот наше новое меню.

Официант указал на QR-код на столе.

— Вы его сканируете, а затем выбираете, что вы бы хотели в нашем онлайн-меню. Кухня сразу же знает, на какой столик заказано то или иное блюдо. Вы же выигрываете в скорости обслуживания.

— Да, спасибо! Я знаю о таком обслуживании. Но будьте добры, пригласите вашего администратора. У меня к нему есть ряд вопросов. Не волнуйтесь, это не по поводу вашего обслуживания.

Марк по привычке автоматически проверил, есть ли лого ресторана на QR-коде, и не отличается ли QR от соседних столов. Все же атаку на подмену QR-кода легко осуществить, просто переклеив код.

Через минуту у столика появился администратор.

— Ваши QR-коды собирают личную информацию о клиентах, например, данные о заказе, номер телефона и электронные письма?

— Мы этого не скрываем. Это необходимо для того, чтобы рестораны и кафе могли проанализировать поведение людей и составить их портрет. Базы данных, созданные на основе полученной информации, могут использоваться для маркетинговых акций, таких как персонализированные скидки или рекомендации.

— Вы не думали, что подобное внедрение QR-кодов может поставить под угрозу права посетителей кафе и ресторанов на конфиденциальность? Ведь в QR-код можно запрограммировать всё, что угодно — от сбора данных текущего местоположения до разрешения осуществить звонок или даже платежную транзакцию. Ведь основная проблема при считывании QR-кода большинством сканеров заключается в том, что переход по ссылке происходит автоматически, без запроса разрешения на дополнительные действия.

— Мы проходили аудит работы приложения и готовы предоставить вам его результаты.

— Марк, наше подразделение проводило тут аудит. Я возглавляла команду аудиторов.

— Ой, Анна, я тут заболтался!

— Да ну что ты. Это профессиональное. Везде видеть работу!

— Увы. Вообще-то я рекомендую, чтобы невольно не делиться своими персональными данными, использовать QR-сканеры с расширенными функциями: после считывания программа уведомит о всех процессах, «зашитых» в код, и пользователь сможет либо отменить некоторые действия самостоятельно, либо отказаться от перехода по подозрительной ссылке. Большинство «продвинутых» QR-сканеров платные, также функции по проверке безопасности QR-кодов доступны во многих антивирусных программах.

— Чувствую, завтра тебе будет о чем рассказать в отделе.

— Ой, да. Но давай попробуем на этот вечер забыть о работе!

Утро Марк рассказал в своем подразделении о вчерашнем разговоре и о меню.

— Самая критичная уязвимость такой технологии — это так называемая MITM-атака, в ходе которой происходит компрометация QR-кода. Что касается сорбираемых персональных данных, то они могут использоваться для безобидной персонифицированной рекламы обновленного сезонного меню. А могут продаваться «серым» организациям для холодных звонков и рассылок или использоваться в личных корыстных целях. Здесь спасение утопающих — дело рук самих утопающих. Необходимо внимательно читать чек-боксы в согласии об использовании персональных данных, в которые мы ставим галочки. А также стараться не переходить по QR-кодам в сомнительных заведениях, где заведомо понятно, что к вопросу безопасности не относятся серьезно.

— И что, теперь и пообедать не удастся?

— Самое надежное — попросить бумажное меню. Но если вы все-таки воспользовались QR-кодом, то не кликайте на информацию, которая требует ваши пароли, не загружайте документы или приложения с этого сайта, не заполняйте никакие формы и не вносите свои личные данные.

Сказка? Нет! Подобные меню уже есть в целом ряде московских (и не только) ресторанов. Так что думайте!

Alt text

Больше пяти не собираться: роботы будут следить за улицами Сингапура, хакеры атаковали проект Jenkins, во Франции арестовали экологов, данные которых раскрыл ProtonMail, а россиян беспокоит идея «социальных рейтингов». Смотрите 31-й выпуск наших новостей.

Владимир Безмалый

О безопасности и не только