Pull to refresh

QRLJacking: новый тип атаки угрожает безопасности пользователей ряда сервисов и интернет-мессенджеров

King Servers corporate blog Information Security *Instant Messaging *
QR-аутентификация не так безопасна, как принято считать



Мохамед Басет (Mohamed Baset) — специалист по информационной безопасности, разработавший метод атаки на пользователей интернет-мессенджеров. Метод этот основан на использовании QR-кодов. Сейчас QR-коды используются для аутентификации во многих приложениях, включая WeChat, Line и WhatsApp. SQRL (Secure QR Logins) считался вполне безопасным методом, но похоже, что это не так.

Метод, показанный Басетом, включает в себя как технологии, как и социальную инженерию. Такие гибридные методы атаки применяются злоумышленниками довольно часто. Для того, чтобы атаковать пользователя интернет-мессенджера, злоумышленник должен каким-либо образом заставить жертву просканировать специальный QR-код. Легче всего здесь использовать фишинг.
Читать дальше →
Total votes 16: ↑14 and ↓2 +12
Views 9K
Comments 10

QR за QR: новый принцип безопасности социальных взаимодействий

Information Security *Reading room Cyberpunk Popular science The future is here

Ходил я давеча на оффлайн-конференцию. На входе меня попросили показать QR-код и паспорт. Все прошло хорошо, однако, вопрос: “а кто вообще, эти люди, которым я должен показать свой основной документ, свои персональные данные?”, меня не оставил.  Желающие узнать как я пришел к идее «протокола» QR-handshake и обсудить как можно улучшить схему, добро пожаловать под кат.

Читать далее
Total votes 17: ↑14 and ↓3 +11
Views 8.2K
Comments 65