16 862
Tesztek Android Google Apple Microsoft Samsung Huawei Linux Okostelefon Biztonság Tudomány Facebook Videojáték Film
Kattints ide  ➜

Hackernapló: QR‑kóddal támadtam az egyetemistákat

Makay József2011.11.09. 23.16
Próbára tettem az egyetemisták műszaki biztonságtudatosságát egy egyre nagyobb népszerűségnek örvendő adatmegosztási forma segítéségével, a QR-kóddal. A tesztet egy hétre terveztem, de olyan egyértelmű eredményeket sikerült produkálni, hogy már néhány órával a projekt elindítása után megírhattam a fejleményeket.

Az ötletet a Kaspersky vírusvédelmi laboratórium által felfedezett vírusterjesztési forma adta. A támadók egy QR-kódot tettek közzé egy weboldalon. A kód egy teljesen ártalmatlannak tűnő URL-re mutatott, ugyanis nem volt a végén semmilyen gyanús fájlkiterjesztés. Itt jött viszont a csavar, ugyanis az ártalmatlannak tűnő weboldal azonnal átirányította a megtámadott készülék böngészőjét egy másik oldalra, ahol automatikusan elindult egy APK (Androidra szánt telepítő) csomag letöltésének kezdeményezése. A Linux-alapú Android mobil operációs rendszer mindent elsöprő piaci pozíciójának köszönhetően a megtámadott telefontulajdonos készülékén meglehetősen nagy eséllyel volt Android, így már csak naivan el kellett fogadnia a letöltést és telepíteni a kívánt alkalmazást, ha erre a (feltört) rendszere lehetőséget biztosított.

Az én akciómban nem szerepelt semmilyen kártékony kód, csupán egy a QR-kódok veszélyességére figyelmeztető androbites aloldal zöld betűkkel és egy csúnya koponyával. Még arra sem vettem a fáradtságot, hogy valami biztonságosnak vélt webcím mögé rejtsem a dolgot. Csak egy egyszerű TinyURL-rövidítést és egy erre mutató (kinyomtatott) QR-kódot használtam a támadás során, ami mögött egyaránt lehetett volna egy APK telepítőcsomag, de akár egy böngészősérülékenységet azonnal kihasználó, felhasználó közreműködést nem igénylő weboldal is.

A lapot a Petőfi híd budai hídfőjének villamosmegállójában ragasztottam ki, ugyanis a két egyetem hallgatóserege többnyire itt szokott felszállni a "négyeshatos", a "ménemjön" és a "jömmá" gúnynevű villamosokra. Innentől már csak várnom kellett, hogy az oldalon elhelyezett számláló értéke növekedni kezdjen. Mivel előzetesen sehol sem raktam közzé az URL-t, így biztos voltam benne, hogy csak telefonról fogják elérni az oldalt.

A csoda nem maradt el. Három órával később már 70-en látogatták meg az oldalt. Ez azt jelenti, hogy ha valamilyen vírusos, vagy adathalász tartalmat tettem volna közzé ezen az oldalon, egy nap alatt több száz potenciális áldozatom lehetett volna. Összegezve: A tapasztalataim alapján ez egy rendkívül hatásos támadási módszer akár célzott támadás esetén is. A használhatóságnak csupán a rosszfiúk kreativitása és az áldozatok naivitása szabhat határt.
Kattints ide  ➜

Az Androbit technológiai és tudományos magazinnál hiszünk abban, hogy az információ mindenkit megillet. Hosszú évek munkájával megszerzett hírnevünknek köszönhetően megadatott számunkra az a lehetőség, hogy műszaki témájú médiumként is elérhessünk minden internetező korosztályt. Tesszük ezt olyan hírekkel és cikkekkel, amik között egyaránt szerepel nagyobb tömegeket és kisebb szakmai csoportokat érintő tartalom is.

A témák gondos összeválogatásának és a cikkek minőségi kidolgozottságának hála mára Magyarország egyik legnépszerűbb technológiai és tudományos információforrásává váltunk – fejlesztéseinkkel és kutatásainkkal pedig igyekszünk mindig egy lépéssel a versenytársak előtt járni.

A weboldalunkon található, szerkesztőségünk által készített tartalmakra vonatkozó összes felhasználási jogot az Androbit technológiai és tudományos magazin birtokolja. A tartalmak egyes részleteinek felhasználását kizárólag látványos (vagy jól hallható) forrásmegjelöléssel engedélyezzük. A feltételek megszegésének jogi következményei lehetnek. A feltételektől eltérő tartalomfelhasználás kizárólag megegyezés útján lehetséges.
Copyright © 2007-2016 – Makay József (makay@androbit.net)
Mesterséges intelligencia fejleszti a Kaspersky felhőalapú adatbázisát
Az Android 7.0 Nougat lesz az UMi karácsonyi ajándéka
A Casio bemutatott egy 1,9 megapixeles kamerát
A Samsung SDI szállítja az akkumulátorokat a Lucid Motorsnak
A fák az Alphabet legnagyobb ellenségei
Megérkezett az Android 7.0 Nougat a Huawei P9‑re és a Huawei Mate 8‑ra
Felkapott témák
Az egyik legnépszerűbb antivírus egyben a legrosszabb is
Sokan fognak kiakadni a Samsung Galaxy S8-ra
2016 legjobb okostelefonjai - Sebességteszt
Android 1.0 Apple Pie vs. Android 7.1 Nougat
Melyik lesz 2017 legjobb okostelefonja?
Postán érkezhet a Windows 10 hibás frissítésének hibajavítása
Állásajánlatok
Technical developer
UI Developer
Tesztelő gyakornok
Szoftvertesztelő Budapest
Senior C++ fejlesztő
Tördelőszerkesztő munkatárs
Sales and Marketing Executive Hungary, Romania, Bulgaria