Исследователи обнаружили способ обхода аутентификации через QR-код

ИБ-исследователь из Seekurity Inc. продемонстрировал, как можно скомпрометировать учетные записи пользователей сервисов, реализующих аутентификацию с помощью QR-кода. Новую технику эксперт назвал QRLJacking.

Многие сайты и приложения используют проект открытого стандарта для безопасного входа на web-сайт и аутентификации. Данная система на основе QR-кода позволяет пользователю заходить в свою учетную запись без ввода логина и пароля. Ресурсы с поддержкой этой системы отображают на своей странице QR-код, сканируя который пользователи попадают на свой аккаунт.

Подобный тип аутентификации считается весьма безопасным, однако специалисту из Seekurity Inc. удалось продемонстрировать его недостатки. Все, что необходимо злоумышленнику для успешной атаки, это убедить жертву в необходимости сканирования QR-кода.

Злоумышленник инициализирует клиентскую QR-сессию и копирует «вход с QR-кода» на фишинговую страницу. Затем атакующий отправляет страницу жертве. Если пользователь сканирует код с помощью определенного мобильного приложения, приложение отправляет секретный токен для завершения процесса аутентификации. В результате злоумышленник получает полный контроль над учетной записью жертвы.