رفتن به محتوای اصلی
چهارشنبه ۲۷ تیر ۱۳۹۷
.

دسته بندی اخبار

دسته بندی عمومی

QRLJacking: تکنیکی برای تصاحب سیستم لاگین مبتنی بر کد QR

QRLJacking: تکنیکی برای تصاحب سیستم لاگین مبتنی بر کد QR

آیا می دانید که با استفاده ازیک سیستم سریع و در عین حال کاملاً متفاوت احراز هویت می توانید بر روی دسکتاپ تان هم  به چت های واتس آپ، وی چت و لاین دسترسی یابید.  

آیا می دانید که با استفاده ازیک سیستم سریع و در عین حال کاملاً متفاوت احراز هویت می توانید بر روی دسکتاپ تان هم  به چت های واتس آپ، وی چت و لاین دسترسی یابید.

 

لاگین واکنش سریع امن یا SQRL ، سیستم احراز هویت مبتنی بر کد QR یی است که به کاربران اجازه می دهد تا به سرعت بدون نیاز به یاد سپردن یا تایپ هر گونه نام کاربری یا گذرواژه یی به یک وب سایت وارد شوند.

 

کدهای QR بارکد های ۲ وجهی هستند که در خود حجم قابل ملاحظه یی از اطلاعات مثل کلید اشتراک گذاری شده یا کوکی نشست را جای داده اند.

 

وب سایتی که از سیستم احراز هویت مبتنی بر کد QR استفاده می کند، یک کدQR را بر روی صفحه نمایش نشان می دهد و هرکسی که قصد دارد به این وب سایت وارد شود باید قبل از ورود کد را با یک نرم افزار تلفن همراه اسکن نماید. به محض پایان یافتن اسکن کد، بدون نیاز به درج هر گونه نام کاربری یا گذرواژه یی، سایت به کاربر اجازه ی ورود می دهد.

 

از آن جا که احتمال سرقت گذرواژه ها با استفاده از کی لاگر، حمله ی man-in-the-middle  یا حتی حمله ی brute force  وجود دارد، بهتر است از کدهای QR استفاده شود. چون این کدها به صورت تصادفی ساخته می شوند کاملاً سری و در نتیجه امن هستند.

 

اما با این حال هیچ فناوری در برابر هک مصون نیست مخصوصاً  زمانی که هکرها انگیزه ی کافی را داشته باشند.

 

QRLJacking: تکنیک تصاحب کننده ی سیستم لاگین مبتنی بر کد QR

Mohamed Abdelbasset Elnouby محقق امنیت اطلاعات و مشاور حوزه ی امنیت سایبر شرکت Seekurity ، تکنیک تصاحب نشست جدیدی را یافته است که می توان از آن برای هک حساب های سرویس هایی استفاده کرد که از قابلیت لاگین با کد QR به عنوان شیوه ی امن برای ورود به حساب ها استفاده می کنند.

 

این تکنیک که QRLJacking نام دارد یک مسیر حمله ی خطرناک اما ساده است که بر روی همه ی نرم افزارهایی که متکی به قابلیت لاگین با کد QR هستند تأثیر گذار است.

 

همه ی آنچه که یک مهاجم برای انجام حمله ی  هک نیاز دارد متقاعد کردن قربانی به اسکن کد  QR مهاجم است.

 

نحوه ی کار تکنیک QRLJacking

  1.       مهاجم نشست QR سمت کلاینت را مقداردهی اولیه کرده و نمونه هایی مشابه کد QR لاگین را در داخل یک صفحه ی فیشینگ قرار می دهد.
  2.        مهاجم صفحه ی فیشینگ را برای قربانی ارسال می کند.
  3.      در صورت متقاعد شدن، قربانی کد QR را با یک نرم افزار همراه هدفمند خاص اسکن می کند.
  4.        نرم افزار همراه برای کامل شدن پروسه ی احراز هویت، توکن سری را به سرویس هدف می فرستد.
  5.        در نتیجه،  مهاجم که نشست سمت کلاینت را مقداردهی کرده است، برروی حساب قربانی کنترل می یابد.
  6.        درنهایت، سرویس شروع به معاوضه ی همه ی داده های قربانی با نشست مرورگر مهاجم می کند.

برای انجام موفقیت آمیز حمله ی QRLJacking ، همه ی آن چه که یک مهاجم به آنها نیاز دارد:

  •          یک اسکریپت Refreshing کد QR
  •          و یک صفحه ی فیشینگ است که ماهرانه طراحی شده باشد.

در صورت انجام شدن موفقیت آمیز حمله ی QRLJacking ، این امکان برای مهاجم فراهم می شود تا با اجرای تمام و کمال سناریوی تصاحب حساب بر روی سرویس لاگین مبتنی بر کد QR آسیب پذیر، به غیر از حساب سایر اطلاعات قربانی مثل مکان دقیق GPS فعلی وی، شماره ی IMEI دستگاه، داده های سیم کارت و سایر داده های حساسی که نرم افزار کلاینت در پروسه ی لاگین ارائه می دهد را تصاحب کند.

۴۹