Presentación Malicioso Pixel - QR Attack,
Los códigos QR en los últimos años han venido incrementándose en uso de campañas publicitarias, siendo una de la tendencias actuales en campañas de marketing, pero que sucedería si se suplantara esos código QR, colocando una URL maliciosa, o Malware o hasta un USSD, y que tanto alcance podría tener? Y a quienes afectan este tipo de ataques? En conferencia dictare como podría afectar a una persona este tipo ataques, como realizarlos y métodos de protección de ataques por medio de códigos QR.
Unidad V. Disoluciones quimica de las disoluciones
Malicioso Pixel - Attack QR Codes
1. Malicioso Pixel :
QR Attack
Juan David Castro ( Dylan Irzi )
WebSecurityDev
2. Quien Soy?
@Dylan_Irzi11
Juan David Castro
Investigador de Seguridad
Desarrollador Web
BugBounty Hunter
CEO de WebSecurityDev
• SEO (Search Engine Optimization).
• Social Media Marketing
• Growth Hacking
Contacto:
• dylan@websecuritydev.com
3. Agenda
Motivacion
Introducción Códigos QR
Phising Código QR
Casos de Ejemplos
Conclusiones
4. Motivaciones
Charlas acerca de Códigos QR
Implementación en marketing ( Campañas Publicitarias )
Implementacion Pay QR Codes VS Tecnología NFC
Vulnerabilidades Smartphones
Vulnerabilidades XSS
5. Códigos QR
(quick response code) «código de respuesta rápida»
es un módulo útil para almacenar información en una matriz de puntos o un código de
barras bidimensional creado en 1994 por la compañía japonesa Denso Wave.
6. Estructura
Hay 40 versiones (tamaños) de los códigos QR que constan de diferentes áreas
que están reservadas para fines específicos.
7. Estructura QR Code
(1): Posición: Estas marcas, ubicadas en tres de las esquinas, permiten al
lector reconocer la posición del código y comenzar su lectura. Para la
legibilidad es importante que haya un margen blanco lo suficientemente
ancho alrededor del código QR.
(2): Número de versión del código QR: En el código QR también hay
información sobre la versión empleada. Hoy en día ya hay 40 variantes
distintas.
(3) Alineación: Esta marca ayuda al lector a reconocer si la imagen del
código está distorsionada por la perspectiva. Cuando mayor es el código,
más marcas se añaden.
(4) Formato: Con ayuda de esta información, el lector QR reconoce el
formato de datos usado: si es una entrada de calendario, datos de
contacto, una dirección de Internet, etc.
(5) Sincronización: Entre las tres marcas de posición hay unas líneas
punteadas, que indican el tamaño de la rejilla de la matriz.
10. En Cuestión de Seguridad?
Aplicaciones de Lectores QR con ejecución de Código.
Explotación de Malware
Phising QR Code
USSD QR Code
11. Ejecución de Código
Algunas Aplicaciones Lectores QR, tienen vulnerabilidades:
Buffer OverFlow
Buffer underflow:
XSS ( Cross Site Scripting )
URL Redirection
USSD Execution
12. Buffer OverFlow
Desbordamiento de búfer:
Cambiamos el indicador de número de caracteres a un número más alto,
por lo que el dispositivo de decodificación intenta decodificar partes de la
carga en forma de datos (si es que puede incluso cambiar el relleno
ganamos espacio valioso para la inclusión de datos adicionales).
13. Buffer Underflow
Buffer underflow:
Cambiamos el indicador de número
de caracteres que se asemejan a un
número más bajo que en el código
original QR. Por lo tanto, un dispositivo
de decodificación sólo debe
decodificar la primera parte del
mensaje, dejando fuera el resto. Esto
es especialmente útil en caso de que
el vínculo original que fue codificado
contenía sufijos.
14. Vulnerabilidades XSS en Lector Code
Se encontró uno vulnerable a evilQR java-script (QuickMark). Además, se puede deducir
que alrededor del 35% de las solicitudes que se utilizaron fueron encontrados vulnerables
de redirección directa.
Estudio realizado por appsec-labs.com
15. Application Test a: java-script
parsing
Test b: website
redirection
TapReader (TapBase LLC) No Parsing User confirmation
QR+ (Alexandr Balyberdin) No Parsing User confirmation
QRReader (Tap Media Ltd) No Parsing Automatic Redirection
Scan (QR Code City, LLC) No Parsing Automatic Redirection
RedLaser (Occipital, LLC) No Parsing User confirmation
i-nigma (3GVision Ltd) No Parsing Automatic Redirection
BeeTagg (connvision AG) No Parsing User confirmation
QR Code Reader
(ShopSavvy, Inc.)
No Parsing Automatic Redirection
QuickMark (SimpleAct Inc.) JavaScript
Execution
Automatic Redirection
QR+Emoji (Ching-Lan
Huang)
No Parsing User confirmation
Bakodo (Dedoware Inc.) No Parsing User confirmation
https://appsec-labs.com/portal/security-assessment-of-mobile-qr-readers-%E2%80%93-a-comparison/
16. También Existen Ataques QR Phising
“QRishing”
Consiste en Suplantar el Código QR original por uno Malicioso “EvilQR” o
Colocar Poster con Con Publicidad Engañosa
17. La Curiosidad!
Mediante la colocación de códigos QR con falsos
pretextos, los atacantes pueden atraer a los
usuarios para escanear los códigos y,
posteriormente, visitar sitios web maliciosos,
instalar programas, o cualquier otra acción que el
dispositivo móvil admite. Se investigó la viabilidad
de los ataques de phishing QR-Code, o Qrishing.
18. USSD Exploit QR
Mediante la creación de códigos QR con
vectores USSD, es posible la ejecución de
Código USSD en nuestro Celular.
Todos dispositivos Android corriendo Por
debajo de Android 4.1.x - Jelly Bean.
22. Medidas de Seguridad
Con carácter general, las recomendaciones son:
Instalar en nuestro móvil un sistema Antivirus.
Mantener correctamente actualizado el Antivirus.
Mantén el Sistema Operativo de Smartphone actualizado.
Instalar aplicaciones confiables, preferiblemente descargadas directamente desde la tienda oficial de aplicaciones
(Android Market).
Antes de instalar la aplicación se debe prestar atención a los permisos de seguridad que necesita la aplicación, y si no te
convence, cancela la instalación e investiga el porqué necesita la aplicación ese tipo de permisos.
Si te encuentras con código QR, se debe prestar atención al lugar (website) y antes de proceder a escanear el código,
verificar si es posible, por otro medio que la aplicación existe, que suele utilizar los códigos QR en sus promociones y
páginas web. Por ultimo, si no ten convence demasiado, desconfía y evita realizar la lectura del código.