Publié par UnderNews Actu - Télécharger l'application Android

Tout le monde connaît maintenant les fameux QR-Codes, que l’on croise un peu partout, tant sur le Web que dans la rue ou les magazines. Ils sont pratiques et lisible avec plein de matériel différent. Mais quid de la sécurité de ce système ? Un internaute s’est penché dessus…

CyberGhost VPN Promo

Vous qui avez un smartphone ou une tablette, vous avez surement dû utiliser un QR-Code, qui permet de stocker toutes sortes d’informations. Un internaute connu sous le pseudonyme de Shirobi a contacté UnderNews après avoir fait une petite découverte et un PoC (Proof-of-Concept, ndlr). Résultat, il a forgé un QR-Code qui, une fois décodé et lu, génère une faille de type XSS du côté de l’utilisateur ! Pas mal, il fallait y penser.

Il a donc généré le QR-Code puis il a utilisé un service en ligne comme tant d’autre afin de le décoder. Et là surprise  une belle alerte JavaScript s’affiche à l’écran ! Pour ceux qui veulent tenter l’expérience, commencez par vous procurer le QR-Code via cette URL ou ci-dessous puis allez le décoder sur le site Esponce.

767343chart

XSSED BY SHIROBI” s’affiche à l’écran. Cela est bien sûr compromettant dans le cadre de certaines manipulations. Des applications non protégées et/ou mal développées pourraient permettre ce genre d’exécution de code. Code qui peut bien entendu s’avérer bien plus malveillant que ce simple message !

UnderNews en profite aussi pour suggérer un autre moyen de détournement qu’un pirate pourrait utiliser (et cela s’est déjà vu à Paris ). Un pirate peut forger un QR-Code contenant une URL renvoyant vers un site infecté et créé pour propager un malware via Drive-by-Download par exemple. Il va ensuite chercher des publicités par exemple utilisant les QR-Codes et coller le sien discrètement par dessus l’original. Facile, rapide et tous ceux qui liront le code pourront être potentiellement victime d’une infection de leur système.

Réfléchissez donc à deux fois avant de scanner des QR-Codes à tout va !

 

Crédits image : Tuxboard

Vous avez aimé cet article ? Alors partagez-le en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin Pinterest email
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (2 votes, note : 4,00 sur 5)
Loading...

Mots clés : , , , , ,

Recherches en relation :

  • les codes QR dans la securite
  • qr securite

Vos réactions
  1. Max

    Rien de neuf, cette technique existe depuis plusieurs années…





Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.