QR-Code fork-bomb

der_holzwurm

der_holzwurm

Well-known member
Themenstarter
Registriert
10 Jan. 2010
Beiträge
623
Hallo Gemeinde,

ich habe eine Wissenslücke.

Kann man mit einem QR-Bild eine fork-bomb in ein smartfone bekommen, so, dass es sich aufhängt? Bitte jetzt nicht eine Anleitung posten, ein einfaches Ja oder Nein täte mir schon reichen.

tschüss


der_holzwurm
 
Na, einfacher kann es doch kein Betrüger haben. Die Leute schalten den Verstand komplett ab, scannen mit ihrem Daddelfon alles ab was sich in der Landschaft findet - und wenn dann ein Schaden eintritt, sind "die da oben" schuld.
 
Es lohnt sich, mit den Begriffen vorsichtig und präzise umzugehen.

Der QR-Code kann nicht von sich aus schädlich sein – es kommt immer darauf an, welche Software auf welchem Gerät ihn ausliest, und was die Software dann tut. Ein QR-Code kann ein bestimmtes Gerät oder eine bestimmte Software dazu veranlassen, eine böswillige Webseite aufzurufen oder Schadcode auszuführen, während andere Geräte oder andere Programme nicht betroffen wären.

Die Parkautomaten sind ein interessanter Fall. Hier ist der Code als solcher korrekt, und auch die Lese-Software macht alles richtig – aber der Nutzer wird in die Irre geführt, was die Legitimität der Ziel-URL angeht.
 
  • Like
Reaktionen: mtu
Ändert sich sicher nicht, das haben wir in AT schon seit mindestens 5 Jahren - macht unheimlich Spaß (n)
 
Was ist so verflixt schwer daran, einfach mal beim eigentlichen Thema QR Codes und deren Risiken zu bleiben? Von der Kontoanrufprüfung war beim OP nicht die Rede und mit QR Codes hat sie auch nichts zu tun.
 
mtu schrieb:
Der QR-Code kann nicht von sich aus schädlich sein – es kommt immer darauf an, welche Software auf welchem Gerät ihn ausliest, und was die Software dann tut. Ein QR-Code kann ein bestimmtes Gerät oder eine bestimmte Software dazu veranlassen, eine böswillige Webseite aufzurufen oder Schadcode auszuführen, während andere Geräte oder andere Programme nicht betroffen wären.
Zum Vergrößern anklicken....
Genau so ist es! Von daher lautet die Antwort auf die ursprüngliche Frage wohl: "Jein". Eigentlich "nein". Aber garantieren kann es niemand und wenn es jemand schafft, dann eben doch "ja." Ganz grundsätzlich ist im QR-Code nur eine Info enthalten, die man auch in Textform darstellen kann (oder umgekehrt: Ein Text wurde hier in Form eines QR-Codes dargestellt). Die Frage ist also: Kann man eine Fork-Bomb in Textform darstellen? Ja, kann man. Hier z.B. eine Forkbomb in Bash: ":(){ :|:& };:" oder hier eine als Windows-Batch: "%0|%0". Aber wird die Forkbomb deswegen auch ausgeführt? Nein. Obwohl ich hier also zwei Forkbombs gepostet habe, wird jetzt kein einziger Rechner abstürzen. Und genau so sieht es auch mit dem QR-Code für's Smartphone aus. So lange man es nicht auch noch schafft, den QR-Code-Reader zum Ausführen des Codes zu bekommen, ist eine Forkbomb in QR-Code-Form völlig harmlos. Und den QR-Code-Reader zum Ausführen zu bekommen, dürfte sehr sehr schwer sein. Aber je nach Lücken in dessen Code nicht unmöglich.

mtu schrieb:
Die Parkautomaten sind ein interessanter Fall. Hier ist der Code als solcher korrekt, und auch die Lese-Software macht alles richtig – aber der Nutzer wird in die Irre geführt, was die Legitimität der Ziel-URL angeht.
Zum Vergrößern anklicken....
QR-Codes sind eben nur eine Info, die in keiner Form Merkmale der Authentifizierung oder Autorisierung aufweist. Man könnte auf den Parkautomaten auch ein Schild kleben, auf dem steht: Bitte das Geld per PayPal an abc@xyz schicken. Oder auf folgendes Bankkonto überweisen: Jerome-Jörg Müller, IBAN DE12... Oder halt auch "gehen Sie auf die Website meinparkautomat.hack.com zum Bezahlen" Wer das macht, hat verloren. Egal ob QR-Code oder Text. Es gibt halt nur wenig Möglichkeiten, auf Nummer sicher zu gehen, dass man da nicht reinfällt. Direkt am Parkautomaten bezahlen z.B. - aber nicht per Karte, die wird ggf. kopiert durch manipulierte Automaten. Oder eine vorher runtergeladene Handyapp nutzen - aber auch da muss man natürlich sicher gehen, dass man die richtige/"originale" erwischt hat. Oder sehr genau prüfen, auf welcher Website bzw. an welche Adresse man da gerade Geld schickt.

//EDIT: Richtig ist aber, dass man derzeit schreiben könnte "Bitte das Geld an 'Stadt Musterhausen' mit der IBAN DE12 3456 ..." überweisen und es würde ankommen, auch wenn das Konto eigentlich "Horst-Kevin Hacker" gehört. Das ist in Zukunft dann nicht mehr so, weil "Stadt Musterhausen" nicht zum tatsächlichen Inhaber des Kontos "Horst-Kevin Hacker" passt.
 
Was bewirkt der Scan des QR-Codes auf dem Smartphone? - Wird damit nicht eine Bank-App gestartet und die QR-Code-Information an diese übergeben, sobald man sich eingeloggt hat?
 
Der QR-Code ist meistens nur Text/URL --> "was auch immer" startet das assoziierte Programm zu dem Text. Leider geht "javascript:alert("hallo");" als URL im Firefox schon lange nicht mehr.
 
QR-Codes sind einfach nur Text, der maschinenlesbar als 2D-Matrix codiert ist. So gesehen bewirkt der Scan eines QR-Codes auf dem Smartphone erst einmal gar nichts. Da wird nur das Bild (der QR-Code) wieder zurück in Text gewandelt. Dann hängt es vom Inhalt des Textes und der Scanner-App ab, was damit gemacht wird. z.B. gibt es den EPC-QR-Code, der Bankdaten beinhaltet. Das erkennt man daran, dass der Text mit "BCD" losgeht. Das kann man dann an eine Banking-App weitergeben und so eine Überweisung vorausfüllen. Ähnliches gibt's für WLAN-Passwörter. Dann geht der Text mit "WIFI" los. Aber im Grunde genommen ist alles immer nur ein Text.
 
cuco schrieb:
z.B. gibt es den EPC-QR-Code, der Bankdaten beinhaltet
Zum Vergrößern anklicken....
Damit kann man aber meines Wissens keine Banking-App in Android oder iOS starten, sondern der Code funktioniert nur aus einer bereits gestarteten Banking-App heraus. Um eben bei deren Nutzung Daten für eine Überweisung z.B. direkt von einer Rechnung übernehmen zu können.

Vielleicht könnte man eine QR-Scanner-App programmieren, die, wenn sie auf so einen Code trifft, damit versucht, eine Banking-App zu starten und ihr den Code zu übergeben. Trivial wäre das aber sicherlich nicht, allein schon, weil erstens Banking-Apps nicht als "Standardanwendungen" für irgendwas in Android oder iOS registriert sind. Und zweitens, weil es diverse Banking-Apps gibt, von denen ein User auch mehrere auf einem Gerät haben kann. Und man könnte drittens weder deren Anmeldeprozess noch die notwendige Freigabe einer Überweisung über so einen Link bzw. Aufruf überspringen.

Bei der QR-Scanner-App, die ich auf meinem Handy nutze, kann man in den Einstellungen auswählen, ob Webseiten automatisch geöffnet werden sollen. Habe ich deaktiviert.
 
Zuletzt bearbeitet:
Ein QR-Code erspart mir in erster Linie die Arbeit, etwas einzutippen. Es liegt dann an mir, wie sorglos ich Software das Ergebnis des QR-Code-Scans überlasse.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • IT Refresh - IT Teile & mehr
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben