Tartalomjegyzék tartalomjegyzék Mi a megoldás? Mi a technológiai csővezeték? Miért számít ez a megközelítés?
A legsikeresebb digitális átverés az, amely a kényelemhez kapcsolódik. A QR -kódok, amelyeket mindent használnak, a kapcsolatok megosztásától a fizetésekig, ideális vektor. Indiában, amely a világ legnagyobb digitális fizetési rendszerét működteti, a QR -kód -csalások rendszeres kellemetlenséggé váltak.
Rendszeresen hallom a kiskereskedelmi üzlettulajdonosoktól és a taxi sofőröktől arról, hogy miként hamisították őket hamis QR -kód vagy alkalmazás segítségével, és hasonló az online vásárlók meséje. A QR -csalások parkolója szintén rohamos az Egyesült Államokban és az Egyesült Királyságban, de néhány dollár ellopása nem az egyetlen kockázat.
Az érzékeny adatok lopása, beleértve a pénzügyi részleteket is, még a banki óriásokat is figyelmezteti. “Ha beolvasta a QR -kódot, és beírta a hitelesítő adatait, például a felhasználónevét és a jelszavát, egy weboldalra változtatja meg a jelszavát.” – mondta az Egyesült Államok Szövetségi Kereskedelmi Bizottsága alig néhány héttel ezelőtt egy riasztási megjegyzésben.
A Svájci Nemzetbiztonsági Ügynökség figyelmeztetést adott ki arról, hogy a rossz szereplők fizikai QR -kódokat küldtek a küszöbökhöz, hogy lopják a jelszavakat, egy olyan hegistát, amelyet közismert nevén Quishing, rövid a QR -adathalászat számára. Természetesen nem tudjuk a QR Tech -halmat kötni az ilyen kockázatokkal, kivéve a tudatosság növelését, de végre lehet megoldani a Rochesteri Egyetem szakértőit.
Mi a megoldás? A blokkos pontok helyett az SDMQR -kódok ellipsziseket használnak. Nadeem Sarwar / digitális trendek
A szóban forgó technológia egy önmagában hitelesítő kettős modulált QR (SDMQR) kód. Megállítja a csalások potenciálját, mielőtt a felhasználókat még egy hamis weboldalra vagy csalárd webtárhelyre is eljuttatnák, a kockázat megjelölésével, amint a kód beolvasásra kerül. De mielőtt bekerülnénk a műszaki részletekbe, hadd bontsam le a QR -kód technológiához vezető biztonságos út legnagyobb előnyeit:
Ez önértékelő, ami azt jelenti, hogy a QR-kódnak már van a mögötte lévő entitás ellenőrzött digitális aláírása, amelyet minden alkalommal igazolunk, amikor beolvassa a telefonjára. Amellett, hogy a felhasználókat a webhelyekre vesszük, felhasználhatók fizetésekre és a kapcsolódó forgatókönyvek közötti biztonságos információk kódolására is. A QR-kód ellenőrzése az eszközön történik. Nincs szüksége internetkapcsolatra ahhoz, hogy ellenőrizze, hogy legitim vagy csalárd -e. Nem igényel semmilyen speciális alkalmazást vagy szoftverfrissítést a meglévő QR -kód -szkennelő alkalmazásokhoz. A rendszer nem hoz létre nem kívánt működési késleltetést vagy késleltetést. Ezek a biztonságos QR -kódok testreszabhatók, hogy megfeleljenek a tervezési követelményeknek, anélkül, hogy akadályoznák a biztosítékokat. Nem kell nagy felbontású okostelefon-kamera működni. A zsebében lévő egyetlen rendben lesz az SDMQR kódok beolvasásakor. Ezeknek a QR -kódoknak is lehetnek színek, így a márkák testreszabhatják őket a jobb személyazonosság felismerése érdekében. A QR -kódokat olvasó meglévő gépek az SDMQR kódokat is olvashatják, egy figyelmeztető rendszerrel vontatva.
A megközelítésben a legjobb rész az, hogy egy átlagos felhasználónak nem kell műszaki karikán keresztül mennie, hogy megvédje érdeklődését. Azoknak a vállalatoknak, amelyek a QR -kódokra támaszkodnak és meg akarják védeni vállalkozását, egyszerűen regisztrálniuk kell hivatalos weboldaluk URL -jét, és beágyazniuk kell az aláírást a kódba.
Az SDQMR kódok másképp néznek ki, mint a hagyományos QR -kódok. A mainstream pixel stílusú blokk lenyomata helyett ellipsziseket használnak. A Tech Stack mögött álló csapat szabadalmat nyújtott be, és már biztosította a Nemzeti Tudományos Alapítvány I-Corps támogatását, hogy feltárja a hagyományos bárkódok SDMQR kódexekkel történő cseréjét.
Egy lépéssel tovább haladva a csapat azt is feltárja, hogy a színek használata sokoldalúbbá teheti -e ezeket a kódokat. A sokoldalúság mellett ugyanazt a QR -kódot használják, hogy a felhasználókat akár három különböző irányba vagy webes célra irányítsák.
Mi a technológiai csővezeték? Rochesteri Egyetem / IEEE Biztonsági és Adatvédelem
„Az SDMQR-kódok proaktív front-end védelmet nyújtanak a felkelés ellen, mielőtt a linkre hozzáférnének”-mondja az IEEE Security & Adative Journalban közzétett kutatási cikk. Mint fentebb említettük, egyszerűen egy utólagos felszerelésről beszélünk, és nem olyan keretről, amely az egész QR ökoszisztémát fejjel lefelé fordítja.
A teljes folyamat két elemre támaszkodik. Elsődleges üzenet (például egy vállalkozás URL -je) és az üzenet megfelelő kriptográfiai aláírása. Ezt a kriptográfiai aláírást egy olyan vállalkozás generálja és birtokolja, amelynek digitális privát kulcs birtoklása van. A DMQR kódoló beágyazza az elsődleges és másodlagos üzeneteket az SDMQR kódba.
Ha megnézi a kódot, akkor az elliptikus mintákat fekete -fehérben veszi észre. A kutatók szerint a variációs minták elrejtik az elsődleges üzenetet, míg az orientációs adatok a másodlagos üzenetet hordozzák.
Egy kockázatos QR -kód rendeltetési hely megjelölése. Rochesteri Egyetem / IEEE Biztonsági és Adatvédelem
Miután a kódot telefonon szkennelték, a DMQR dekóder lebontja az elsődleges és a másodlagos üzeneteket az ellenőrzés céljából. Ebben a szakaszban a vállalkozás nyilvános kulcsa (amely létrehozta a kódot) algoritmikus ellenőrzést végez annak ellenőrzésére, hogy a kriptográfiai másodlagos üzenet megegyezik -e a titkosítatlan elsődleges üzenet tartalmával.
Gondolj rá, mint egy kétlépcsős titkos kézfogás a kémszerek között.
A legnagyobb kihívás nem a technológiai verem, hanem egy központosított rendszer létrehozása, ahol minden vállalkozás összejönhet és elvégezheti a szükséges regisztrációt az egyedi SDMQR kódok létrehozásához. Az ötlet az, hogy nyilvános kulcsot hozzon létre ezeknek a legitim entitásoknak, ami szintén az egyetlen dolog, amit egy SDMQR kódolvasó igényel.
Itt az okostelefon -operációs rendszerek – más néven a Google és az Apple – készítői segíthetnek a biztonságosabb jövő megteremtésében. Központi aláíróként való részvételük azt jelentené, hogy az okostelefon vagy a táblagép csak két nyilvános kulcsa szükségessé válik az SDMQR kódok gyors hitelesítéséhez.
A legitim URL jóváhagyása az SDMQR kód vizsgálata után. Rochesteri Egyetem / IEEE Biztonsági és Adatvédelem
Mivel beépített QR-kód-szkennelési kereteket kínálnak az iOS és az Android számára, a központi aláírókként való felhasználás a legjobb út. Technikai szinten részvételük drámai módon megkönnyíti az ellenőrzési folyamatot, mivel az SDMQR kódolvasóknak csak két nyilvános kulcsot kell tárolniuk, és elvégezniük a munkát.
Határozottan van néhány precedens erre. A Google lehetővé teszi, hogy a vállalkozások regisztráljanak egy ellenőrzött jelvényt és ikont a Gmail -ben, hogy a felhasználók ne essenek hamis e -mailekre, amelyek legitim üzenetként próbálják átadni.
Miért számít ez a megközelítés?
Az elmúlt években egészséges néhány technikai javaslat jelent meg a QR -kód -csalások problémájának megoldására, ám mindegyikük meglehetősen a korlátozások méltányos részével érkezett meg. Az SDMQR rendszer megoldja néhány kulcsfontosságú akadályt, hogy technikai gondok nélkül megkönnyítse az örökbefogadást.
Átlátszó megközelítést igényel az ön hitelesítéshez, és nem igényel szoftverfrissítést a személy telefonjára telepített QR-kód-olvasó alkalmazásokhoz. Jól fognak működni a szokásos QR -vel és a biztonságosabb SDMQR kódokkal.
Ellenkező esetben a fejlesztők vagy az operációs rendszerek ökoszisztéma-szintű szinkronizált frissítésének feladata nemcsak hatalmas kihívás lenne, hanem a saját édes időt is. Az elfogadók kényelmének további javítása az egyetlen központi aláíró rendszer, amelynek csak egy kulcs szükséges az ellenőrzéshez. És a legjobb az egészben, hogy az okostelefon -felhasználóknak még az internetkapcsolatnak sem kell megkövetelnie az ellenőrzési protokollok működését.
Az SDMQR -kódok nagyon jól működnek a stílusos testreszabással. Nadeem Sarwar / digitális trendek
A biztonságos QR -kódrendszerek felépítésére irányuló korábbi erőfeszítések a QR -kódgenerátorok kriptográfiai kulcsokba vetett hitüket az identitás hitelesítése érdekében. Néhány más ötlet magában foglalta az egyedi köz- és magánbillentyű párokat, ami azt jelenti, hogy a felhasználó mobil eszközét elvárják, hogy hordozzák (vagy helyben mentsék el) a nyilvános kulcsokat az összes fél számára, akik feliratkoztak a biztonságos kódok hitelesítésére és személyazonosság-ellenőrzésére.
“A javasolt protokollunk használatával a mobil eszközök meghatározhatják, hogy az információt az aláíró hitelesnek tekinti -e, közvetlenül a mobil eszközön” – mondja a kutatási cikkben szereplő csapat.
További előnye, hogy a rejlő kettős moduláló technika alkalmazható a sávkódokra is, ami azt jelenti, hogy még a légitársaságok beszállóközpontjaihoz használt kódok és a futárok PCACKAGE kihasználhatják a keretet.
Az SDMQR kódok legnagyobb kedvezményezettje a banki intézmények lenne. A kutatók azzal érvelnek, hogy a parkolási fizetési rendszerekbe történő telepítésük megbízhatóan megvédi a felhasználókat a QR-alapú adathalász támadások és a pénzügyi veszteségek megcélzásától.
Ez utóbbi szempont minden olyan forgatókönyvre vonatkozik, ahol az emberek gyakran a nyilvános helyeken vakolt QR -kódokba kerülnek. Ez magában foglalja a Wi-Fi hozzáférést, az étterem menü megnyitását és többek között üzleti hely továbbítását. A Wi-Fi-emelés egy jól ismert fenyegetés, amely egy átlagos felhasználó számára gyorsan káoszba spirál, így a sebezhetőség dugására szolgáló megoldásoknak a tömeges elfogadást kell találniuk.
A labda most a Google -ban és az Apple hátsó udvarában található. Már biztosítják az OS-szintű szoftvermártást a QR és a vonalkódok dekódolásához. Csak annyit kell tennie, hogy az új SDMQR -keretrendszert ellenőrzi és végrehajtja az okostelefon -felhasználók érdekeit az egész világon.
