TIP#1884: Jsou QR kódy bezpečné? Co hrozí při používání?

Pokud si nejste jisti co to vlastně ten QR kód je, tak si nejprve přečtěte Jak číst a vytvářet QR kódy a co to vlastně ten QR kód je. Není tam ale řešena otázka bezpečnosti, takže je vhodné se tomu věnovat.

Základní riziko QR kódů spočívá v otevření webové adresy – na té může dojít k pokusu o napadení zařízení. Na mobilních telefonech navíc není vidět v prohlížeči adresa, takže otevření přes QR kód může vést i někam, kam jste ve skutečnosti vůbec nechtěli vstoupit. Adresa může také vést na stažení nějakého software – v zásadě zde platí všechny zásady bezpečného chování na v prohlížeči.

Využití zkracovačů adres, ale i prostého přesměrování znamená, že nikdy není jisté, na jakou adresu vás vlastně QR kód zavede.

Velmi snadné je využití QR kódu pro phishing, kdy vás QR kód zavede na podvodný web, který se vydává za jiný – ať už je to online bankovnictví nebo třeba přihlášení do sociálních sítí.

Podobně jako otevření URL adresy je možné aby QR kód vyvolal napsání e-mailu či SMS, nebo vytočit číslo. Ve spojení se zpoplatněnými voláními a SMS to může být další riziko.

QR kód také může do mobilního telefonu vyvolat instalaci aplikace – opět je zde tedy potřeba dobře vědět, zda danou aplikaci opravdu chcete instalovat (a hlavně, zda ji opravdu později spustit).

Načtení QR kódu může vést k předání polohových informací – zejména přes načtení URL.

QR kód může být rizikem i při placení (Jak funguji QR platby? Jak platit QR kódem?). Pozor na podvržený QR kód, který místo správného cílového účtu vede k zaplacení na zcela jiný účet. Podvrh se může odehrát u e-mailu cestou, u webových stránek pokud je napadne hacker, ale také napadením vašeho počítače – zobrazený QR kód v prohlížeči může malware/virus zaměnit za vlastní.

V QR kódech jsou často uloženy kontaktní informace a do telefonu se vám tak mohou dostat nechtěné kontakty.

QR kódy vás mohou připojit na Wi-Fi síť, ke které se možná vůbec připojit nechcete. Ta se navíc nastaví jako preferovaná.

Načtením QR kódu je také možné sledovat účty na sociálních sítích.

Jak se chránit?

S QR kódy je samozřejmě potíž, co se v nich skrývá je možné vidět pouze tak, že je načtete. Jenže samotné načtení QR kódu mobilním telefonem zpravidla vyvolá akci – pokud je tam URL, tak by vám měl URL ukázat a nikoliv automaticky otevřít. Nemusí to být ale pravda u všech akcí, které QR kódy umí.

Pokud si nejste jisti tím, co v nějakém QR kódu je, tak ho zkuste uložit a nechat „přečíst“ některou z čteček dostupných na Internetu (Jak číst a vytvářet QR kódy ). Jen tak můžete bezpečně prověřit, co se vlastně skrývá uvnitř.

Je-li v QR kódu URL adresa, musíte se ujistit, že je bezpečná a vede tam, kam má vést. Je-li v QR kódu číslo účtu kam chcete poslat peníze, je potřeba číslo ověřit u příjemce. Bude-li vám QR kód nabízet aplikaci ke stažení či instalaci, musíte se k ní chovat jako ke každému jinému rizikovému stahování.

Platí zde tedy stejné zásady jako u bezpečného chování na Internetu a s tím souvisejících místech a službách. Viz tedy například Jak se bezpečně chovat v prohlížeči při brouzdání po Internetu?  a další tipy na toto téma.