Tout le monde connaît maintenant les fameux QR-Codes, que l’on croise un peu partout, tant sur le Web que dans la rue ou les magazines. Ils sont pratiques et lisible avec plein de matériel différent. Mais quid de la sécurité de ce système ? Un internaute s’est penché dessus…
Vous qui avez un smartphone ou une tablette, vous avez surement dû utiliser un QR-Code, qui permet de stocker toutes sortes d’informations. Un internaute connu sous le pseudonyme de Shirobi a contacté UnderNews après avoir fait une petite découverte et un PoC (Proof-of-Concept, ndlr). Résultat, il a forgé un QR-Code qui, une fois décodé et lu, génère une faille de type XSS du côté de l’utilisateur ! Pas mal, il fallait y penser.
Il a donc généré le QR-Code puis il a utilisé un service en ligne comme tant d’autre afin de le décoder. Et là surprise une belle alerte JavaScript s’affiche à l’écran ! Pour ceux qui veulent tenter l’expérience, commencez par vous procurer le QR-Code via cette URL ou ci-dessous puis allez le décoder sur le site Esponce.
“XSSED BY SHIROBI” s’affiche à l’écran. Cela est bien sûr compromettant dans le cadre de certaines manipulations. Des applications non protégées et/ou mal développées pourraient permettre ce genre d’exécution de code. Code qui peut bien entendu s’avérer bien plus malveillant que ce simple message !
UnderNews en profite aussi pour suggérer un autre moyen de détournement qu’un pirate pourrait utiliser (et cela s’est déjà vu à Paris ). Un pirate peut forger un QR-Code contenant une URL renvoyant vers un site infecté et créé pour propager un malware via Drive-by-Download par exemple. Il va ensuite chercher des publicités par exemple utilisant les QR-Codes et coller le sien discrètement par dessus l’original. Facile, rapide et tous ceux qui liront le code pourront être potentiellement victime d’une infection de leur système.
Réfléchissez donc à deux fois avant de scanner des QR-Codes à tout va !
Crédits image : Tuxboard
Rien de neuf, cette technique existe depuis plusieurs années…
Les commentaires sont fermés.