Modismo X Segurança

É difícil ler um anúncio, em revista, jornais ou folheto de produtos nesses dias sem ver o código de resposta rápida (quick response – QR Code) – um bloco quadrado, o código de barras bidimensional que possibilita usuários de smartphones rapidamente conectarem em um endereço na web simplesmente tirando uma foto do bloco de código
 
O código provou ser popular com os comerciantes, ainda se que ele não seja bem entendido por muitos usuários de celulares: uma recente pesquisa feita pelo analista de empresas Russell Herder sugeriu que mais da metade de todos os entrevistados – incluindo 80% dos entrevistados no intervalo de 18-24 anos – notaram QR codes enquanto cerca de 16% dos entrevistados realmente o digitalizaram.
 
Significativamente, entretanto, um em cada 5 entrevistados não tinha a menor ideia do que seria um QR code. Esse é quase o mesmo percentual – 22% – de sorte em 50 empresas que estão experimentando os QR codes em sua estratégia de marketing e não tiveram sucesso: um estudo em separado de Comscore sugeriu que 14 milhões de residentes nos EUA digitalizaram QR code comente em junho de 2011.
 
Enquanto comerciantes lutam com a demanda de construção dos códigos, os consumidores podem inadvertidamente estar lutando com algo muito mais ameaçador: e se esse código de barras levou seu smartphone para um site infectado com malware? E se esse malware foi otimizado para atingir o iOS da Apple, o Android, do Google, ou outros sistemas operacionais móveis com um Tróia que seria executado em segundo plano enviando senhas para seus mestres?
 
É um cenário cheio de possibilidades, diz Scott McKinnel, o gerente diretor de Check Point Software Technologies da Austrália e Nova Zelândia. "Há um conjunto de evidências a dizer que as pessoas que criam aplicativos de leitura de código QR ​​não estão pensando em segurança", ele explica, notando a falta geral de criptografia nos códigos e a ameaça representada pela "marcação de ataque “- a impressão de um código QR ​​com um URL malicioso em um adesivo em cima de um código QR ​​legítimo.
 
Uma vez que a maioria dos QR codes são postados em locais públicos, onde um adesivo substitute é fácil de ser colocado disfarçadamente – e uma vez que a maioria dos consumidores não estão antenados para a questão da segurança do QR code, eles o digitalizam – esse tipo de ataque tende a ficar mais comum com o passar do tempo.
 
"É uma ameaça e é real", diz McKinnel, natando que um inescrupuloso hacker poderia ler o conteúdo de um código QR​​, em seguida, modificar a URL com elementos adicionais que incorporam um exploit de segurança. Por exemplo, um código QR ​​poderia facilitar um ataque de malware que faz com que os fraudadores pegarem o número e repetidamente enviarem SMS de prêmios por um custo em dólar por mensagem.
 
"Em comparação com os tipos de vetores de ataque complexo que você vê na programação convencional, este tipo de ataque não é tão difícil", explica ele. "Inserir ou excluir elementos – por exemplo, a adição de uma linha de comando que iria instalar malware, se conectar a um computador remoto ou causar um ataque de buffer -. Não seria tão difícil.
"Embora todos os sistemas operacionais de smartphones poderem estar sujeitos a ataques de vulnerabilidades conhecidas, os dispositivos Android têm se mostrado mais suscetível a malwares por causa de políticas de privacidade relativamente abertos do Google sobre postagem de novos apps. O Google recentemente está introduzindo Bouncer, um recurso que verifica automaticamente novos aplicativos para Malware – mas engenhosos hackers têm mostrado notável sucesso em contornar as proteções para infectar smartphones e tablets Android a adição de códigos QR como um novo vetor de ataque, McKinnel adverte, só poderia ajudá-los ainda mais.
 
Enquanto as soluções de segurança de smartphones e tablet continuam a evoluir, a educação do usuário de curto prazo tem um papel importante a desempenhar na prevenção de infecções através de novos vetores de ataque, como os códigos QR. O problema, McKinnel diz, é que a maioria dos usuários de smartphones desconhecem se seus dispositivos foram comprometidos – e poucos tomam o tempo para fazer verificações básicas sobre os códigos QR, como procurando a borda reveladora de um adesivo aplicado sobre o código real.
Mesmo que muitos usuários não aprendam a pensar duas vezes antes de clicar em uma URL enviada por correio electrônico que não pode levar onde ele diz que vai, a novidade relativa de códigos QR significa que a maioria dos usuários não é suscetíveis de exercer o mesmo nível de cautela – e isso faz com que os códigos de uma método extremamente aberto para o ataque que pode revelar-se capaz de contornar os controles de segurança normais.
 
"As pessoas tendem a tomar o caminho de menor resistência, e se há um negócio para ser tido por visitar um link código QR​​, eles vão fazer isso", explica McKinnel. "Se está em uma publicação de marca legítima, ele deve estar certo".
 

"Mas, se você está tendo um olhar para a etiqueta e não reconhece a marca, ou seja em um outdoor ou algo que não se sente bem, por que você visitaria esse link? Este é apenas mais um problema de segurança que está adicionando à multiplicidade de questões já associados à smartphones. Há um outro elemento de risco que você precisa considerar quando se olha para segurança de dispositivos móveis -. e, finalmente, você precisa usar o bom senso ".