25 Jahre QR-Code – Braucht die beliebte Pixel-Matrix ein neues Sicherheitskonzept?

QR-Codes gibt es seit 1994, doch ihr Entwickler ist besorgt und der Meinung, dass sie ein Sicherheitsupdate benotigen. Der Ingenieur Masahiro Hara entwickelte mit seinem Team die 2D-Codes fur den Einsatz in der japanischen Automobilherstellung. Aber wie bei vielen anderen Technologien auch, nahm die Verbreitung schnell zu, da der Code auch fur weitere Zwecke sinnvoll einzusetzen ist. Masahiro Haras Arbeitgeber Denso stellte das Design damals kostenlos zur Verfugung und heute sind QR-Codes uberall zu finden – vom Werbeplakat uber Zeitschriften, Restaurants und Museen bis hin zum Login auf dem Bestatigungsfeld einer Webseite.

Insbesondere in China sind QR-Codes sehr beliebt und es werden Zahlungen in Billionenhohe uber das System getatigt. Hongkong hat kurzlich ein auf QR-Code basierendes und zugleich schnelleres Zahlungssystem eingefuhrt. Dieser Code weckte so viel Interesse, dass Apple ihn nativ in der Kamera-Applikation von iOS 11 unterstutzt, wodurch die Notwendigkeit von QR-Scan-Anwendungen von Drittanbietern entfallt. Hara ist ein wenig erschrocken uber all diese neuen Einsatzgebiete fur ein Design, das ursprunglich nur zur Produktionskontrolle in Betrieben entwickelt wurde. In einem Interview Anfang August ausserte er seine Bedenken und meinte, dass er sich dafur verantwortlich fuhle, QR-Codes sicherer zu machen.

Security-Experten teilen sein Bedenken: Cyberkriminelle konnen QR-Codes auf vielfaltige Weise fur Angriffe nutzen, wie beispielsweise durch Quick Response Code Login Jacking. Dieser Angriff ist moglich, wenn ein Nutzer den QR-Code als Einmalpasswort verwendet und auf einem Bildschirm anzeigt. Das Open Web Application Security Project (OWASP) listet diese Attacke als Angriffsvektor und warnt, dass ein Angreifer den QR-Code von einer legitimen Website auf eine Phishing-Site klonen und dann an das Opfer senden konnte. Eine weitere Angriffsmoglichkeit entsteht durch gefalschte QR-Codes. Kriminelle konnen ihre eigenen QR-Codes uber legitime stellen. Anstatt das Smartphone des Benutzers auf die vorgesehene Webseite zu leiten, fuhrt der gefalschte Code den Benutzer zu Phishing-Websites oder zu Seiten, die auf JavaScript basierende Malware bereitstellen. Cyberkriminelle konnten auch die zunehmende Verwendung von QR-Codes fur Zahlungen nutzen. Sie ersetzen dabei den QR-Code, der den Anwender zu einer legitimen Zahlungsadresse fuhrt, mit einer eigenen URL fur gefalschte Zahlungen.

Forscher des MIT (Massachusetts Institute of Technology) haben in einem Bericht bereits einige Vorschlage fur Sicherheitsmassnahmen aufgefuhrt. So konnte beispielsweise der QR-Code eine Verschlusselung verwenden, um zu verhindern, dass ein Dritter diesen Code ausspioniert und klont. Dazu sendet eine Online-App einen verschlusselten QR-Code an ein bereits angemeldetes (und damit vertrauenswurdiges) mobiles Gerat. Nur das angemeldete Gerat kann den QR-Code entschlusseln und zeigt ihn dann fur das zweite Gerat zum Lesen an. Der QR-Code enthalt eine URL, die den Nutzer in die App einloggt – ahnlich dem Prinzip der Zwei-Faktor-Authentisierung. Es gibt auch mehrere verschlusselte QR-Code Login-Systeme, die derzeit in Entwicklung sind. Ein weiterer Vorschlag besteht darin, digitale Signaturinformationen in den Code einzubetten, um seine Authentizitat zu bestatigen. Das sind alles sehr gute Ideen, aber die Forscher sollten sich besser beeilen, da sind sich die Sophos-Experten sicher. Denn mit zunehmender Verbreitung von QR-Codes wird es immer schwieriger, das Design zu andern.