Kod QR który prezentuje dwie różne wartości – okazuje się, że to możliwe

Czy jeden i ten sam QR-kod, skanowany na tym samym urządzeniu i tym samym oprogramowaniem, może prowadzić do różnych stron? Okazuje się, że tak. Christian Walther zaprezentował QR-kod, który może być odczytany jako dwie różne, prawidłowe wartości. Bez żadnych dodatkowych elementów, które zmieniają jego wygląd.

TLDR:

• jeden, statyczny QR-kod koduje dwie różne wartości
• interpretacja na różne sposoby na tym samym urządzeniu i oprogramowaniu

Wcześniej podobne tricki były bowiem możliwe przez zastosowanie nakładek, które powodowały zmianę widocznego obrazu w zależności od kąta, pod którym był oglądany. Tu mamy do czynienia z ciekawostką i zarazem nową techniką, ponieważ obraz jest w pełni statyczny.

W zależności od użytego oprogramowania, ustawienia obiektywu oraz innych czynników, zdekodowana wartość, którą otrzymamy po zeskanowaniu zaprezenowanego QR-kodu to https://mstdn.social/@isziaui lub https://github.com/cwalther. Co więcej, może się ona różnić na tym samym sprzęcie i oprogramowaniu.

Jak to możliwe, skoro QR-kody projektowane są tak, aby zapewnić redundancję przechowywanych informacji oraz sumy kontrolne? Autor nałożył na siebie dwa QR-kody, a miejsca, w których “piksele” się różniły, podzielił w pionie i poziomie na cztery części, z których każde dwie, położone na ukos od siebie otrzymały różne wartości – czarną i białą.

Dzięki temu dany “piksel” w QR-kodzie ma “połowiczną” wartość i może zostać zinterpretowany albo jako biały, albo jako czarny. Reszta zależy już od oprogramowania dekodującego i odrobiny szczęścia.

Póki co to tylko ciekawostka, ale pomysłowość ludzka – w tym przestępców – nie zna granic, dlatego zachęcamy zawsze do zwracania uwagi na to, pod jaki adres URL próbuje nas skierować kod. O znacznie prostszych technicznie, faktycznie przeprowadzanych atakach z użyciem QR-kodów pisaliśmy już wielokrotnie, a także omawiamy na naszych szkoleniach zamkniętych.

~Paweł Różański