Как сделать чтобы qr код не сканировался

Обновлено: 02.07.2024

— Это QR-код, который не копируется физически. То есть, когда мы кладём QR-код в принтер и получаем дополнительную копию, она уже не распознаётся. Неважно, сколько копий, все они считываться не будут. Другими словами, это стандартный QR-код, внутреннюю часть которого нельзя скопировать, размножить или подделать. Например, если мошенник захочет сделать множество копий QR-кодов и наклеить их на фейковые продукты, то благодаря нашему QR-коду можно будет понять, что это подделка.

— Для чего был создан такой QR-код? В чём смысл двухфакторной системы проверки?

— Нашей первоначальной целью была защита от контрафакта. Это головная боль российского рынка. Несмотря на то что в нашей стране есть государственная маркировка, мы хотели дополнительно обезопасить иностранную продукцию, выходившую на наш рынок. И мы начали разрабатывать специальную метку. Однако её стоимость была дорогой для массового производства, и мы пытались удешевить нашу технологию. Вместо десяти рублей наши метки стали стоить пять рублей. Мы начали думать, как дополнительно защитить эту метку, чтобы графическое изображение невозможно было скопировать.

  • Отличия стандартного и двухфакторного QR-кода

Стандартный QR-код можно размножить на принтере и распознать специальными программами — например, на телефоне. Он будет соответственно показывать какой-то результат. У нас идёт проверка по двум факторам. Это внешний вид QR-кода и внутренний. Если они совпадают, то только тогда можно узнать, оригинал это или нет. Получается, что это двухфакторная авторизация, в отличие от обычного однофакторного QR-кода. Наш внутренний код выглядит как квадрат в квадрате. Например, берём обычную форму QR-кода и добавляем внутрь ещё одну.

Мы придумали свой алгоритм этого внутреннего кода. Это тоже некий код, шифр которого хранится у нас. Обычный QR-код можно сейчас создать любым генератором и напечатать миллион таких копий. Мошенники могут сделать так же, но внутреннюю часть, как у нашей метки, у них уже подделать не получится.

— Сколько времени ушло на разработку QR-кода и какие компании его сейчас используют?

— Полгода. В марте прошлого года мы думали, как удешевить технологию, и ближе к зиме начали плодотворную работу. Мы брали принтеры и использовали разные технологии. Мы всё анализировали и пытались сделать варианты QR-кода. У нас было около тысячи всевозможных вариантов, прежде чем появился один-единственный.

На сегодняшний день у нас есть десять постоянных клиентов, которые каждый месяц с нами работают. Ещё 12 корпораций хотят с нами сотрудничать. Среди них производители автозапчастей, деревообрабатывающие, табачные компании и другие.

— Как происходит проверка QR-кода? Какие программы были для этого разработаны?

— Мы разработали наше фирменное мобильное приложение для iOS и Android, которое можно запустить и проверить наши коды. Помимо всего прочего, сейчас мы внедряем технологию веб-интерфейса для телефона. Другими словами, когда сканируется QR-код, открывается ещё одно окошко в веб-браузере с камерой, там идёт дополнительное сканирование. Это удобно для массового потребителя, для тех, кто не хочет использовать мобильное приложение.

Сначала проверяется внешний код. Если он правильный, то начинает проверяться уже внутренняя часть (некопируемая). Если она совпадает с той, что у нас в базе, тогда уже мы получаем информацию о продукте (сроке годности, его виде, производителе и т. д.). Также мы можем получить и PDF-файлы либо видеофайлы — в данном случае мы не ограничены в размерах вшитой информации.

Мы создали специальный сервер, чтобы он принимал данные при копировании QR-кода. Доступ к такому серверу практически невозможно получить. Если код не подходит и не совпадает с теми, что находятся в нашей базе, метка поддельная.

— Разрабатываются ли аналоги такого QR-кода в мире или ваш можно считать уникальным?

— Хотелось бы сказать, что мы уникальны. Но если ты не знаешь о какой-то компании, это не значит, что её нет. Возможно, кто-то в этом направлении работает. Тем более в нынешней ситуации, когда все знают о проблеме поддельных QR-кодов.

Я знаю, что есть компания в Гонконге, которая работает над схожими технологиями. Но у них есть очень много нюансов. Во-первых, для считывания их QR-кодов нужны очень продвинутые телефоны. И принцип у них такой: есть белая часть и чёрная часть, из которых состоит QR-код. В этой белой части у них находятся специальные точки и палочки, которые могут распознать только смартфоны. Более того, проверка QR-кода у них занимает более 25 секунд.

Российские учёные создали невидимые полимерные гелевые метки, которые можно использовать для защиты от контрафакта. Они представляют.

— В каких областях будут использоваться новые QR-коды? Какие перспективы у данной разработки?

— Мы в следующем году выходим на рынок СНГ. У нас там довольно много запросов. Сначала мы бы хотели закрепиться на российском рынке, а потом уже предлагать QR-код западным компаниям.

Мы работаем со всей продукцией с приставкой «авто» —автозапчасти, автохимия, автомасла. Наши коллеги, анализировавшие этот рынок, сказали, что за 2019 и 2020 годы там было продано около 30% поддельной продукции. Например, каждая третья запчасть или каждая третья бутылка масла поддельная, контрафактная. Соответственно, клиенты на этом рынке знают, что продукцию очень активно фальсифицируют, и поэтому ищут какие-то способы защиты.

— Сможет ли разработанная вами технология помочь в борьбе с поддельными QR-кодами после вакцинации коронавируса?

— Мы ещё не запустили такой QR-код, потому что там очень много нюансов. Даже если мы введём новые QR-коды, что делать людям, которые вакцинировались и уже получили старые? Даже если наши QR-коды будут вводиться официально с 1 декабря, это не значит, что мошенники не смогут поставить другую дату и выдать старый QR-код. В первую очередь нужно защититься от всяких мошеннических схем. Сейчас прорабатываются все варианты, чтобы никто не смог обмануть систему.

Без сертификата о вакцинации или болезни теперь никуда — и вот как можно снизить неудобство от нововведений.

12 ноября правительство направило в Госдуму законопроекты об использовании QR-кодов в общественных местах и в некоторых видах транспорта. Если закон примут, то мера будет действовать как минимум до июня 2022 года. При этом в некоторых городах России уже сейчас нельзя пойти в кинотеатр или музей без QR-кода.

TJ выбрал десять способов хранения QR-кодов — от привычных до экстравагантных — и испытал большинство из них.

Не забывайте, что при предъявлении QR-кода у вас могут спросить паспорт или дату рождения.

Что потребуется: логин и пароль от «Госуслуг»

QR-коды россиян выдаются и хранятся на сайте «Госуслуг». С телефона сервисом проще пользоваться с помощью одноимённого приложения, которое можно установить на любую OC. Баннер со ссылкой на сертификат находится на главной странице — кликнув, вы сразу увидите QR-код и срок его действия.

Мнение редактора TJ Ольги Щербининой: Я не хочу ставить дополнительные приложения, поэтому вполне устраивает хранение QR-кода на «Госуслугах». Надо всего лишь ввести пароль и перейти по ссылке на главной. Такая схема почти не подводила за исключением одного раза — приложение вылетело и пришлось срочно восстанавливать пароль от аккаунта.

Что потребуется: логин и пароль от «Госуслуг»

У Минцифры есть специальное приложение про ситуацию с коронавирусом в России — «Госуслуги СТОП Коронавирус». После авторизации через сервис «Госуслуг» на главной странице автоматически появится ваш сертификат о вакцинации — на русском и английском языке.

Мнение редактора TJ Саши Кирилловой: Удобный способ — один раз ввёл логин/пароль от «Госуслуг» и больше ничего делать не нужно. В архиве документов можно хранить ещё и сведения о результатах тестов на Covid-19 и антитела. В отличие от приложение «Госуслуг» в нём нет ничего лишнего.

Где скачать: «Госуслуги»

Что потребуется: логин и пароль от сайта

QR-код можно сохранить с сайта «Госуслуг» в виде PDF-файла или сделать скриншот. В первом случае документ останется в файловой системе телефона, во втором — в галерее. После можно добавить снимок в избранное или загрузить в телеграм: лучше если вы защитите оба приложения паролем.

Ещё один вариант: поставить QR-код на рабочий стол — так необходимый документ можно предъявить даже при заблокированном смартфоне.

Мнение редактора TJ Саши Кирилловой: Не самый лучший способ для хранения QR-кодов — можно потерять скриншоты в альбоме с фотографиями или в файловой системе. Если добавляете в «сохранённые» в телеграме, то ставьте какое-то слово-пометку, чтобы затем запустить по нему поиск.

Где скачать: Wallet (стандартное приложение для хранения карт), Covid Wallet (сервис для QR-кода)

Что потребуется: логин и пароль от «Госуслуг»

Создатель Covid Wallet – российский разработчик Евгений Колотилин, сделавший программу в свободное время. На сайте проекта отмечается, что приложение не сохраняет персональные данные.

Мнение SMM-редактора TJ Кати Устиновой: Раз уж QR-коды стали частью нашей жизни, я решила позаботиться о том, чтобы мне было удобно им пользоваться. Мысли о том, что мне придётся искать скриншот или заходить каждый раз на «Госуслуги», лишь добавляли мне тревожности. К тому же не везде ловит интернет, а «Госуслуги» часто падают или лагают. А добавить карту в Wallet, которым я и так пользуюсь, было идеальным решением.

Где скачать: Google Pay (стандартное приложение для хранения карт), Pass2pay (сервис для QR-кода)

Что потребуется: логин и пароль от «Госуслуг»

Приложение создала компания Development Colors: она не связана с Google и использовала в разработке «доступные всем инструменты». В политике конфиденциальности отмечается, что компания «не передаёт личную информацию». В Google Play — девять высокооцененных приложений DC.

Что потребуется: фотография QR-кода

Приложение «QR-код Виджет» позволит хранить сертификат прямо на рабочем столе телефона. Предварительно необходимо сохранить QR-код в виде фотографии, после чего сервис предложит загрузить его и превратить в виджет. Снимок может включать в себя не только код, приложение само найдёт его и обрежет.

Приложение создал разработчик Максим Казаков. Сервис не собирает персональные данные. Чтобы сохранить несколько QR-кодов, потребуется купить платную версию за 99 рублей.

Мнение редактора TJ Саши Кирилловой: Если у вас на телефоне уже есть фотография QR-кода, то через один клик она переместится на ваш рабочий стол. Это удобно, но не всем подходит: слишком на виду.

Что потребуется: логин и пароль от «Госуслуг»

Во вкладке «Документы» приложения банка «Тинькофф» можно хранить различные виртуальные копии паспорта, загранпаспорта, СНИЛС , ИНН, ОМС и других документов. QR-код экспортируется с сайта «Госуслуг».

Нужно зайти в онлайн-банк, кликнуть по иконке пользователя в верхней части экрана, нажать «добавить» в разделе «QR-код вакцинированного или переболевшего COVID-19» и залогиниться в «Госуслугах». Это потребуется сделать лишь один раз, после чего QR-код будет доступен в профиле.

Мнение главреда TJ Сергея Звезды: Удивительно, но частный банк, который никому, кроме своих клиентов, ничего не должен, справился с очевидной общей проблемой в сто раз лучше и быстрее государства. Всё грузится и отображается моментально. Хотя, казалось бы, кому это нужнее? Правда, вы не увидите QR без захода в онлайн-банк, что требует распознавания лица (а вы в этот момент, скорее всего, в маске), сканера отпечатка пальца или пин-кода. С другой стороны, это можно воспринимать как дополнительную защиту ваших данных.

Что потребуется: логин и пароль от «Госуслуг»

Приложение от «Яндекса», которое работает аналогично приложению «Тинькофф-банка». В настройках личной страницы следует выбрать вкладку «QR-код» и экспортировать его с «Госуслуг».

Мнение редактора TJ Саши Кирилловой: Быстрый и удобный способ использования своего QR-кода. Преимущество перед хранением в приложении банка: никто не спрашивает твой пароль. Но, возможно, это может и стать проблемой?

Что потребуется: пароль и логин от «Госуслуг», принтер.

QR-код можно хранить и в бумажном виде: для этого его необходимо распечатать дома или получить в любом МФЦ — но только с 16 ноября. Минусов практически никаких: сертификат о вакцинации становится обычным документом — как паспорт или проездной.

Можно объединить QR-код с другими документами: например, приклеить его на заднюю обложку паспорта (лучше снимаемую). Так вы избежите ситуации, когда сертификат имеется, а подтвердить то, что он принадлежит вам нельзя.

Мнение редактора TJ Саши Кирилловой: В эпоху отказа от бумажных носителей довольно странно распечатывать QR-код. Пожалуй, имеет смысл, если вы делаете сертификат своей бабушке, которая плохо разбирается с телефоном. Для лучшей сохранности можно положить документ в «файлик».

Что потребуется: QR-код, мастер тату и кожа

Вариант для самых отчаянных: главный плюс — вы точно не забудете QR-код, потому что он теперь всегда с вами. Главный минус — сертификаты имеют ограниченый срок действия: год с момента вакцинации или болезни. Лучшим вариантом станет «нанесение» временной татуировки, как это делали летом 2021 года в Москве.

Никто из редакции не набивал себе тату с QR-кодами (по крайней мере, пока что не пробовал), поскольку это самый непрактичный вариант. Но если решитесь, лучше это делать на открытых участках тела, чтобы зимой не пришлось раздеваться.

Способов хранить QR-код — множество и в материале, наверняка, представлены не все. Будем рады увидеть в комментариях, где вы храните документ о вакцинации.

Поставил на экран блокировки

Сразу же так сделал, вообще не понимаю прикола где-то прятать это

показывать qr-код нельзя, чтобы порчу не навели или не заразили ваш аккаунт на госуслугах вирусом ред.

Как cчитать QR-код: все способы

Обычно QR-код читают с помощью специального приложения на смартфоне. Но его можно расшифровать и без дополнительных гаджетов. Мы расскажем про все способы.


В этой статье мы покажем, как считать QR-код с помощью браузера, приложения, ПК на Windows и вручную.

Как считать QR-код без приложения

Если у вас нет приложения для чтения QR-кода, вы все равно можете расшифровать эти непонятные черно-белые квадраты. И самый простой способ сделать это — использовать специальный сайт.

Как считать QR-код с помощью смартфона

Самым простым способом чтения QR-кодов является использование смартфона, на котором установлено специальное приложение.

  • На Windows Phone даже не нужно загружать дополнительные программы. Такие смартфоны по умолчанию декодируют не только QR-коды, но также EAN и все остальные штрих-коды. Кроме того, Windows Phone умеет сканировать тексты.
  • Чтобы считывать QR-коды с помощью iPhone, нужно установить отдельное приложение. Например, бесплатный сканер QR Code — Barcode Scanner Free.
  • Для Android-смартфонов подойдет QR Code Reader, который можно скачать в Google Play.

Как читать QR-коды на ПК с ОС Windows

Как считывать QR-коды на компьютере или ноутбуке, подробно описано в нашем соответствующем материале. Здесь для сканирования штрих-кода вам понадобится веб-камера.

Как расшифровать QR-код вручную

Интересно, что QR-код можно расшифровать совсем без сканера. Надо только знать, что такое QR и как он работает: его структуру, функции и отдельные элементы. Подробную информацию о данном методе можно найти в нашей статье.


QR-код (англ. Quick Response Code — код быстрого реагирования) — это матричный или двумерный штрих-код, который может содержать до 4296 символов ASCII. То есть, проще говоря, картинка, в которой зашифрован текст.

История вектора атаки

В 2014 году программа Barcode Scanner для мобильных устройств из проекта ZXing практически не проверяла тип URI, передаваемый через QR-код. В результате любой эксплоит, который мог быть исполнен браузером (например, написанный на JavaScript), можно было передать через QR.

Сканер пытался отфильтровать опасные виды атак с помощью регулярных выражений, требуя, чтобы URI имел период с последующим продлением как минимум на два символа, транспортный протокол длиной не менее двух символов, за которым следует двоеточие, и чтобы в URI не было пробелов.

Если содержимое не соответствует хотя бы одному из требований, то оно определяется как обычный текст, а не URI. Этот механизм блокирует атаки вроде javascript;alert("You have won 1000 dollars! Just Click The Open Browser Button"); , но, внеся пару простых изменений в код, мы получаем вариант, который программа исполняла в браузере, ведь она считала JS-код обыкновенным, «нормальным» URI!

Вот как это выглядело.

Вариант кода, который блокировался защитным механизмом сканера Модифицированный URI, который программа не могла отфильтровать

Как мы можем увидеть, уведомление появилось в браузере, а значит, URI с потенциально вредоносным кодом был выполнен. Однако выполняется данный JS-код лишь тогда, когда пользователь нажимает Open Browser (то есть «Открыть в браузере»).

Самое опасное здесь — что человек без предварительной подготовки не может узнать содержимое кода, не отсканировав его. А человек очень любопытен: в различных исследованиях большинство испытуемых (которые, кстати, даже не знали об эксперименте) сканировали QR-код именно из любопытства, забывая о собственной безопасности. Поэтому всегда будь внимателен!

Если у тебя нет сканера кодов, но уйма свободного времени — можно попробовать расшифровать код вручную. Инструкция есть на Хабре.

QRGen — каждому по коду

Для демонстрации средств работы с QR-кодами я буду использовать Kali Linux 2019.2 с установленным Python версии 3.7 — это необходимо для корректной работы утилит.

WARNING

Не забывай про уголовную ответственность за создание и распространение вредоносных программ, к которым в широком смысле относятся и наши «заряженные» QR-коды.

Начнем с утилиты QRGen, которая позволяет создавать QR-коды с закодированными в них скриптами. Копируем репозиторий и переходим в папку с содержимым.

QRGen требует Python версии 3.6 и выше. Если возникает ошибка, попробуй обновить интерпретатор.

Устанавливаем все зависимости и запускаем сам скрипт.

Справка QRGen

Справка QRGen

Аргумент -h выведет то же самое, а вот запуск с ключом -l приведет к генерации QR-кодов из определенной категории. Всего их восемь.

  1. SQL-инъекции.
  2. XSS.
  3. Инъекции команд.
  4. QR с форматированной строкой.
  5. XXE.
  6. Фаззинг строк.
  7. SSI-инъекции.
  8. LFI или получение доступа к скрытым каталогам.

Возможные атаки

Теперь давай посмотрим на примеры из каждой категории, а также разберемся, какой урон и каким устройствам они могут нанести.

Посмотреть текстовые файлы со всеми вариантами «начинки» QR-кодов ты можешь в папке words (они разделены по категориям, указанным выше).

Теперь пара слов о последствиях атак подобными нагрузками.

Первый класс атак — SQL-инъекции — используют при взломе БД и нарушении работы веб-сайтов. Например, запрос может вызывать зависание сайта.

Следующий пример (под номером 2) демонстрирует эксплуатацию XSS-уязвимости при атаке на веб-приложения с использованием SVG (Scalable Vector Graphic). К чему может привести XSS, ты, думаю, и без меня прекрасно знаешь, так что подробно на этом останавливаться не буду.

Третий пункт выводит на экран жертвы содержимое файла /etc/passwd : список аккаунтов Linux-based-систем и дополнительную информацию о них (раньше — хеши паролей этих учетных записей). В подобных случаях обычно стараются получить /etc/shadow и конфигурацию сервера, но все очень сильно зависит от цели, так что какие файлы читать — решай сам.

Четвертый пример представляет собой выражение, которое вызовет переполнение буфера (buffer overflow). Оно возникает, когда объем данных для записи или чтения больше, чем вмещает буфер, и способно вызвать аварийное завершение или зависание программы, ведущее к отказу в обслуживании (denial of service, DoS). Отдельные виды переполнений дают злоумышленнику возможность загрузить и выполнить произвольный машинный код от имени программы и с правами учетной записи, от которой она выполняется, что делает эту ошибку довольно опасной.

Пятый по счету класс атак (XXE Injections) представляет собой вариант получения скрытой информации веб-сервера с помощью анализа вывода XML-файлов. Конкретно в нашем примере при запросе к серверу тот ответит зашифрованным в Base64 содержимым файла /etc/passwd , который уже упоминался. Однако расшифровать его не составит труда — достаточно лишь воспользоваться встроенной в большинство дистрибутивов Linux утилитой base64 либо же онлайн-конвертером.

Атаки форматной строки (пример 6) — это класс уязвимостей, который включает в себя предоставление «специфичных для языка маркеров формата» для выполнения произвольного кода или сбоя программы. Говоря человеческим языком, это класс атак, при которых приложение некорректно очищает пользовательский ввод от управляющих конструкций, из-за чего эти конструкции в результате исполняются. Если ты программировал на С, то, конечно, помнишь те интересности с выводом переменных через printf : надо было в первом аргументе (который строка) указать на тип выводимого значения ( %d для десятичного числа и так далее).

Седьмой пункт представляет собой вариант command injection, которая выполняет определенный код на стороне сервера. В моем примере будет выполнена команда ls , которая покажет содержимое текущей директории, но, конечно, там может быть гораздо более опасный код.

И наконец, последняя категория — это LFI-уязвимости (Local File Inclusion; включение локальных файлов), позволяющие просмотреть на уязвимых (или неправильно настроенных) серверах файлы и папки, которые не должны были быть видны всем. Один из возможных вариантов — просмотреть файл /etc/passwd , о котором мы с тобой уже не раз говорили. Это может выглядеть вот так.


Обрати внимание, что в качестве тестового веб-приложения используется DVWA (Damn Vulnerable Web Application), который был специально разработан для обучения пентесту. Многие атаки на веб-приложения можно отработать на нем.

Практика

А сейчас перейдем к практике — протестируем эту утилиту сами.

Продолжение доступно только участникам

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Читайте также: