Seite 3: Sicherheitsforscher vermutet übertriebene Vereinfachung

Inhaltsverzeichnis

Sicherheitsforscher Dabrowski hegt den Verdacht, dass die Fehler bei der Auswertung der QR-Codes mit einem umstrittenen Google-Projekt zusammenhängen: Dem Verkürzen der in der Adresszeile des Chromium- beziehungsweise Chrome-Browsers angezeigten URLs. Dort versteckt Google seit einiger Zeit Adressteile wie https:// und www. Technisch müssen diese Adressteile aber erhalten bleiben, zumal der Webserver unter https://www.foo.at nicht derselbe sein muss, wie unter https://foo.at.

"Im Interface der Camera-App ist nicht viel Platz für die Anzeige der URL", stellte Dabrowski fest, "Daher ist es nachvollziehbar, dass die Einblendung dort auf ein Minimum getrimmt wird. Allerdings darf das keine irreleitenden Fehler hineintragen – und schon gar nicht verkürzte Adressen an den Browser übergeben, wie das jetzt passiert." Alle beschriebenen Fehler traten übrigens auch dann auf, wenn auf dem Pixel-Handy ein anderer Browser als Chrome als Standardanwendung eingestellt war – am Browser liegt es also nicht.

Dass bestimmte Handys QR-Codes anders interpretieren als andere Mobiltelefone, ist für Dabrowski übrigens nichts Neues. Der Forscher hat bereits 2014 demonstriert, dass sich ein kleiner QR-Code in einem größeren QR-Code einnisten lässt. Manche Endgeräte lesen den kleineren Code aus, andere den größeren, wobei sie den kleineren dank Redundanz im QR-Code ignorieren können. Wer die Geräte der Enduser kennt, kann eine Attacke designen, die bei ausgewählten Zielen wirkt und andere unbehelligt lässt.

Was User tun können

Die Fehler sind bislang vor allem störend, weil Seitenaufrufe nicht funktionieren oder umgeleitet werden. Dem österreichischen Unternehmen wird vielleicht die eine oder andere Stellenbewerbung entgehen. In bestimmten Konstellationen lassen sich die Bugs jedoch für Attacken gegen Pixel-Nutzer einsetzen; beobachtet haben wir das bislang nicht.

Endusern empfehlen wir Argwohn gegenüber QR-Codes, die außerhalb geschlossener Systeme auftauchen. Sicherer ist, die neben dem QR-Code angegebenen Daten zu lesen und, bei Internet-Adressen, diese zu prüfen und gegebenenfalls einzutippen. Das Vorhandensein des Klartextes alleine ist allerdings kein Qualitätsmerkmal – schließlich kann ein Übeltäter, der QR-Codes überpickt, auch den Klartext überkleben.

User, die partout nicht auf das automatische Auslesen von QR-Codes verzichten können und derzeit ein Pixel-Handy mit Android 12 nutzen, sollten bis auf Weiteres die "Google Lens Suggestions" der Camera-App ausschalten und eine andere App zum Auslesen von QR-Codes nutzen. Von Applikationen, die in QR-Codes (vermeintlich) erkannte Links sofort öffnen ohne sie vorher anzuzeigen und auf Bestätigung zu warten, raten wir dringend ab. heise security hat Google um Auskunft dazu ersucht, wie es zu den Fehlern kommt, und wann Abhilfe erwartet werden darf.

Was QR-Herausgeber tun können

Wer Unterlagen mit QR-Codes öffentlich in Umlauf bringen möchte, die nicht nur für eine ganz bestimmte, selbst kontrollierte Software vorgesehen sind, sollte zweimal darüber nachdenken, ob das modische Quadrat wirklich notwendig ist. Und ob der Support-Aufwand oder verlorene Kundenkontakt bei fehlgeleiteten Anwendern den Nutzen übertrifft.

Tunlich ist, neben QR-Codes menschenlesbar anzugeben, was in den Codes versteckt ist. Je nach Verbreitungsweg besteht zwar das Risiko, dass Angreifer den QR-Code und den Text überkleben; solange Text und QR-Code den gleichen Inhalt haben, sind versteckte Angriffe jedoch etwas leichter zu entdecken. Und wenn nichts überklebt wird, besteht immerhin die Chance, dass einem Nutzer auffällt, wenn seine App den QR-Code falsch interpretiert, bevor er die Webseite eines Angreifers aufruft.

(ds)