Эксперт из Seekurity Inc. показал, каким образом могут быть скомпрометированы пользовательские аккаунты в сервисах, которые реализуют аутентификацию, используя QR-код. Новая техника была названа исследователем QRLJacking.
Во многих сайтах и приложениях используется проект открытого стандарта для аутентификации и безопасного входа на веб-сайт. С помощью этой системы на базе QR-кода пользователь может зайти в свой аккаунт, не вводя логин и пароль. Сайты, которые поддерживают эту систему, имеют на своей странице QR-код. Сканирование кода позволяет пользователям попадать на свою учетную запись.
Считается, что подобный механизм аутентификации весьма безопасен, но специалист из Seekurity Inc. указал на его недостатки. Злоумышленник для успешной атаки должен лишь заставить обманным путем пользователя сканировать QR-код.
Киберпреступник запускает клиентскую QR-сессию и копирует на фишинговую страницу код для входа. После злоумышленник отправляет пользователю данную страницу. В том случае, если жертва решит сканировать код, используя определенное мобильное приложение, то оно отправит секретный токен, чтобы завершить процесс аутентификации. В итоге у киберпреступника появится полный контроль над аккаунтом пользователя.