台北捷運忠孝復興站往Sogo的連通道,有個很吸引人的沖繩旅遊大型廣告,上面印著QR code吸引手機族注目,拿起Google Android手機掃描,竟然連往俄羅斯色情網站、並且下載可疑的browser_update.apk 程式?!
這不是駭客電影情節,而是真實發生在今年228連假,筆者親歷的狀況。這次台灣首見QR Code 駭客攻擊案例,並且抓準民眾相信實體廣告的QR Code,不會有所遲疑,掃描後直接就開啟。無獨有偶,大陸也陸續傳出有駭客,鼓催網友掃描二維條碼可拿網購優惠,使用者沒留意狀況下,安裝了木馬的apk,甚至還有掃了QR Code被盜走了手機銀行帳戶存款的案例。
一項新科技應用,遇到了駭客注目,難免會影響消費民眾的使用信心,特別是目前已經有電信商、公益組織、購物業者,開始流行使用QR Code做O2O的手機購物或公益捐款事宜。本著鍵盤柯南精神,開始著手研究此次QR Code攻擊手法是怎麼發生的,在本文後段,提出QR Code 資訊安全管理,以及行銷建議方案,提供給網路廣告行銷業、網購業、電信商、電視與平面媒體領域朋友參考。
解析QR Code 的駭客攻擊模式
該QR Code掃描後,一開始連接到正常的旅遊活動網址( www.???.com.tw),接著Android 手機瀏覽器被轉址到 http://fileso.com/browser_update/....browser_update.auto 的網址,同時又驅動疑似下載app的行為:http://fileso.com/browser_update/....browser_update.apk ,手機用戶開瀏覽器時,看到browser字眼還以為是正常網址。接著網頁就被轉到俄羅斯一個色情網站首頁。若改用iPhone 掃描,則會引導到一個俄羅斯語系的網頁,輸入手機號碼後,就可以下載ipa檔 (iPhone App檔案)。
改用桌機電腦連接該旅遊網址時,竟顯示正常旅遊活動內容。代表這駭客做了很高竿的事:依照不同瀏覽器的User Agent來做不同導網址的行為。下面是使用Chrome瀏覽器所做的手機連線細部分析。
細部分析這些細膩的攻擊手法,讓我們學習到3件跟資安管理有關的事:
- 駭客抓住消費者心理。掃描一個QR Code後,進行下載app,是一個常見的使用情境。因此從駭掉QR Code網站,引導下載 app,不知情使用者將輕易上當。
- 駭客抓住網站管理員的維護習慣,只針對手機用戶來做攻擊,而讓網站管理人員不易發現。如此網站管理員即使每天用桌面電腦檢視網頁,也不易發現此問題。
- 從此次攻擊發現,駭客在技術上可以做到把銀行、網購、航空公司或各類QR Code轉址到假APP下載。如果手法更為強烈,是可以搭配APP市集並不一定需審核可上架,導致使用者基於相信企業官方QR Code而導致在合法的APP市集,下載假app,乃至輸入真實的個資帳密的危害事件發生。
一般手機使用者該怎麼因應?
- 辨識連結網址合理性:QR Code 掃描後會看到一串網址,在還沒有正式打開瀏覽器前,都可以達到預防。若看到網址怪異,建議不要打開。
- 辨識品牌官方網站是否有奇怪轉址:正常來說,官方品牌網站不該有多層次的轉址。有些安全軟體可以幫助抓出往下兩層的轉址,藉以辨識是否可能被駭客攻擊,像是國內廠商開發的「Call Saver APP防駭通」。
- 品牌APP的QR Code:看到大型廣告,如果該QR Code廣告不是一體成形,而是額外黏上,建議不要掃描。此類攻擊案例雖未出現,但技術卻比駭掉網站更為容易。
- 如果掃描QR Code後驅動下載app行為,請務必留意只到官方的Goolge Play、App Store下載,同時查看下載量與評價是否熱門。
使用QR Code做廣告宣傳的業者怎麼因應?
便利與安全永遠是一個取捨平衡難題,但如何讓APP生態系更為健全,提昇用戶信心,我們提供幾項建議供相關領域朋友參酌,很歡迎大家若有遇到各類心得,與我們交流討論更好的方法:
1、預先告知
在印製QR Code的宣傳文宣上,告知會連接的網址是什麼,這樣消費者可交叉比對掃描後的網址是否如文宣所示。
2、用短網址產生的QR Code的好處、缺點與建議
用短網址來產品QR Code有不少好處,比如說短網址服務通常都會提供點擊追蹤/統計的功能。而且短網址因為資訊量少,產生出來的QR Code會比較簡單,掃描成功率會比較高。但是也有不少缺點:比如說,短網址一般都是隨機產生的字串,使用者很難看出來連過去會是一個什麼樣的結果,所以會對轉換率有一定的影響。
短網址還有另一個使用者經驗上的問題:如果短網址目的是引導下載APP,Android手機在安裝了多套瀏覽器時,短網址將會增加開啟點選的步驟。一開始會要使用者先選一個瀏覽器,在短網址服務轉址過後,會再跳窗問是否要用Play Store開啟,冗長的操作往往也會降低轉換率。
如果真得用縮網址,可考慮使用提供自定短網址的服務,如http://x.co或是 http://smarturl.it,讓使用者在掃完QR Code看到網址後,比較能知道接下來要去的網址是跟看到的品牌名稱相關,使用者會比較有信心點擊。
譬如我們用 QR Code對應的 http://smarturl.it/CallSaver 放在Call Saver海報,使用者掃描後,會依照桌面電腦、以及Android、iPhone分別導向不同的網址。如此也降低我們去維護QR Code 主網址的安全性負擔。
3. 適合行動裝置瀏覽(Mobile Friendly) 的網頁
坊間很多QR Code,掃描點進去後卻是桌面型網頁,用手機瀏覽器非常不容易閱讀。從使用者經驗角度來看,想使用QR Code引導使用者到自家網站,行動版網頁是必須的。
如果沒有足夠資源自行打造行動版網頁,可以考慮使用一些對於行動裝置存取支援度很高的內容管理系統(Content Management System),像是wordpress。或是也可以將QR Code連結到臉書粉絲頁,在粉絲頁裡傳達要表達的訊息。然後讓臉書系統幫忙處理行動頁面優化的部分。
4. 資訊安全管理的監控
- QR Code對應的入口首頁最重要,可使用免費的網站工具,從本機來做首頁的完整性檢測(Integrity Check),隨時監測是否有被植入惡意程式碼。
- 此次的駭客攻擊手法,可以從伺服器端設定修改轉址,因此寫一個監測工具是有必要的,分別模擬桌機、Android與iPhone的瀏覽器,偵測是否有發生異常,並提出警告。
- 對於伺服器主機、應用套件,必須持續保持最新的安全版本更新,避免駭客利用系統漏洞就鑽進來。
作者簡介 :
張朝騏、魏孝丞為Call Saver共同創辦人。張朝騏來自麻省理工學院媒體實驗室 (MIT Media Lab)、創辦 flirq交友網站。魏孝丞曾獲Google 首屆Android全球競賽得獎(ADC)、Google Application Security 官網頒發Reward Recipients與 Honorable Mention ,另具有ISO 27001 Lead Auditor。
延伸閱讀:
你對 Android 手機的資安敏感度有多高?來試試「Test Your Security IQ」測驗吧
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!