Login via QR-Code? Besser nicht!
Allein das Scannen eines bösartigen QR-Codes kann dazu führen, dass Angreifer unbefugten Zugriff auf einen Account erhalten. Grund dafür ist das QRLJacking – eine besonders hinterhältige Quishing-Methode.
Der Login mit QR-Code galt eine Zeit lang als vielversprechende Alternative zur klassischen Anmeldung mit Benutzername und Passwort. Als neuartiges Single Sign On (SSO) Verfahren, das auf generierte QR-Codes setzt, versprach es einen großen Komfortgewinn. Die Nutzer müssen sich keine Passwörter merken, sondern nur ihr Smartphone aus der Tasche holen und einen QR-Code auf dem Bildschirm scannen, um sich einzuloggen.
Mittlerweile ist jedoch klar, dass das Verfahren relativ leicht ausgehebelt werden kann. Wenn es Angreifern gelingt, den Nutzern einen speziell präparierten QR-Code unterzujubeln, können sie die Sitzung übernehmen (Session Hijacking) und sich unbefugten Zugriff auf den jeweiligen Account verschaffen.
Wie sich der Quick Response Code Login verbreitet hat
SSO-Verfahren, die QR-Codes verwenden, gibt es bereits seit mehr als 10 Jahren. Sie werden auch als Quick Response Code Login, kurz: QRL, bezeichnet. Ein erstes Patent für diese Authentifizierungsmethode hatte Google im Jahr 2013 eingereicht.
In den Folgejahren implementierten zahlreiche Online-Dienste QRL-Verfahren und boten ihren Nutzern den Login per QR-Code an. Dazu gehörten beispielsweise Messenger wie WhatsApp und WeChat sowie eCommerce-Marktplätze wie Alibaba.
Bei WhatsApp wurde das Verfahren zum Beispiel im Jahr 2015 eingeführt, um sich bei WhatsApp Web anzumelden. Man öffnet einfach die entsprechende URL im Browser und scannt mit dem Smartphone den dort angezeigten QR-Code. Wenn man im Smartphone bei WhatsApp angemeldet ist, werden dadurch der WhatsApp Web-Client und das Smartphone verbunden und man kann im Browser seine Chats und Nachrichten sehen.
Wie QRL funktioniert und an welchen Punkten sich Angreifer einhaken
Das reguläre Anmelden via QR-Code läuft – ähnlich wie bei WhatsApp Web – über folgende Schritte ab:
1. QR-Code generieren
Der Dienst, bei dem du dich anmelden möchtest, generiert einen einzigartigen QR-Code.
2. QR-Code scannen
Du scannst den QR-Code mit einem Gerät, auf dem du bereits angemeldet bist – typischerweise mit deinem Smartphone.
3. Bestätigung
Eine App verifiziert den QR-Code und sendet eine Bestätigung an den Dienste-Anbieter.
4. Anmeldung
Du wirst bei dem verknüpften Dienst eingeloggt.
Ein QRLJacking-Angriff startet nun mit einer gefälschten Login-Seite. Die Angreifer locken ihre Opfer zum Beispiel über eine Phishing-Mail oder mit vergleichbaren Social Engineering-Methoden auf diese Seite, die einen präparierten QR-Code enthält. Wenn Nutzer den Code scannen, werden ihre Anmeldedaten an die Angreifer weitergeleitet, die damit die Sitzung übernehmen können.
Wie ein konkreter Angriffsversuch im Detail abläuft, beschreibt zum Beispiel der Cyber Security-Forscher Christian Giustini in einem Blogbeitrag über ein QRLJacking beim Login der Gaming-Plattform Steam.
Es gibt kaum Schutzmaßnahmen gegen QRLJacking
Für Cyberkriminelle sind QRLJacking-Angriffe mit wenig Aufwand realisierbar. Sie müssen nur eine Login-Seite klonen, darin ihren speziellen QR-Code einbetten und die Nutzer dazu verleiten, sich dort anzumelden. Eine einfache technische Lösung für diese Schwachstelle gibt es nicht. Der Knackpunkt liegt in der Natur von QR-Codes, die per se weder codiert noch verschlüsselt sind.
Zwar haben Diensteanbieter in den vergangenen Jahren zusätzliche Sicherheitsfunktionen eingeführt, die den unbefugten Zugriff auf Accounts via QRLJacking unterbinden bzw. aufdecken soll. Dazu gehört zum Beispiel eine automatische Benachrichtigung per Mail nach einem erfolgreichen Login per QR-Code. Die einhellige Empfehlung von Sicherheitsforschern lautet aber klar, auf den Login per QR-Code ganz zu verzichten.
Fazit
Betrugsversuche mit bösartigen QR-Codes – auch bezeichnet als Quishing – haben aktuell Hochkonjunktur. Das QRLJacking ist eine Spezialform, bei der Angreifer die Login-Möglichkeit via QR-Code gezielt ausnutzen. Obwohl bereits seit Jahren bekannt ist, wie leicht sich diese Authentifizierungsmethode aushebeln lässt, ist sie auch heute noch stellenweise in Gebrauch. Du solltest deshalb zur Sicherheit auf die Anmeldung per QR-Code verzichten.
QRLJacking zeigt wieder einmal sehr deutlich, wie groß in der IT-Sicherheit das Spannungsfeld zwischen Komfort und Sicherheit ausfällt. Aus Nutzersicht erscheint das Scannen eines QR-Codes deutlich einfacher, als erneut einen Benutzernamen und ein Passwort anzugeben. Aus Perspektive der Cyberkriminellen öffnet sich durch dieses Komfortfeature jedoch ein weiteres Tor, um sich unbefugten Zugriff zu verschaffen und Konten zu übernehmen.
Weiterführend Informationen:
Wir beantworten gerne alle Fragen.
Kontaktiere uns über das untenstehende Formular oder auch unter +43 5 9555
und office@techbold.at. Unsere vollständigen Adressdaten findest du hier
Sie sehen gerade einen Platzhalterinhalt von HubSpot. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen
Evelyn Heinrich
Head of Account Management
oder ein Account Manager aus ihrem Team melden sich umgehend.
