image

Britse overheid: installeer geen aparte app voor scannen qr-codes

donderdag 8 februari 2024, 11:36 door Redactie, 27 reacties

Wie een qr-code moet scannen kan hiervoor beter de standaard meegeleverde app op de telefoon gebruiken in plaats van een aparte app uit een appstore te downloaden, zo adviseert de Britse overheid. De afgelopen jaren zijn geregeld malafide qr-lezers in appstores aangetroffen. Volgens het Britse National Cyber Security Centre (NCSC) maken criminelen bij phishingaanvallen steeds vaker gebruik van qr-codes. Dit zou namelijk verschillende voordelen hebben.

Het NCSC stelt dat de meeste mensen tegenwoordig alert zijn op verdachte links. Via een qr-code is het mogelijk om dergelijke links te verbergen. Daarnaast zijn niet alle securitytools in staat om links in qr-codes te scannen, waardoor een malafide link er toch doorheen kan glippen. Verder zijn gebruikers eerder geneigd om een qr-code met hun persoonlijke telefoon te scannen. "Persoonlijke apparaten hebben mogelijk niet dezelfde beveiliging als een computer die door de werkgever is verstrekt", aldus de Britse overheidsinstantie.

Volgens het NCSC is het scannen van qr-codes in cafés en restaurants waarschijnlijk wel veilig. Het scannen van qr-codes in openbare ruimtes kan risicovoller zijn. Het grootste risico is echter het scannen van qr-codes in e-mails. De Britse overheidsinstantie merkt op dat er een toename van 'quishing-aanvallen' zichtbaar is. Onlangs waarschuwde ook de Belgische overheid hiervoor.

Reacties (27)
08-02-2024, 11:47 door Anoniem
Ik heb juist een aparte app die mij eerst toont wat ik eigenlijk scan, dat doet de standaard camera app niet, die wil het alleen maar openen in mijn favoriete browser, of als het een link is naar een app, de bijbehorende app.
08-02-2024, 11:56 door jetstreak
Ik gebruik alleen de QR-lezer die standaard in Firefox zit. Werkt prima.
08-02-2024, 13:28 door Briolet - Bijgewerkt: 08-02-2024, 13:31
Vreemd advies. In mijn smartphone zit geen QR app, dus je moet er wel een installeren. En dat is juist veiliger, want dan kun je een app installeren die eerst de URL laat zien en je het dan expliciet moet bevestigen om in een browser te openen.
08-02-2024, 13:44 door beaukey
Door Briolet: Vreemd advies. In mijn smartphone zit geen QR app, dus je moet er wel een installeren. En dat is juist veiliger, want dan kun je een app installeren die eerst de URL laat zien en je het dan expliciet moet bevestigen om in een browser te openen.

Android -> "Google" app -> Search -> Google Lens -> scan QR code.
08-02-2024, 13:52 door Anoniem
Dan kunnen ze beter zeggen dat mensen geen malafide apps moeten downloaden, aangezien er wel meer soorten apps malafide zijn.
08-02-2024, 14:17 door Anoniem
Door Briolet: Vreemd advies. In mijn smartphone zit geen QR app, dus je moet er wel een installeren. En dat is juist veiliger, want dan kun je een app installeren die eerst de URL laat zien en je het dan expliciet moet bevestigen om in een browser te openen.

In de iPhone zit die standaard QR-scanner wel.
08-02-2024, 14:18 door Anoniem
Hm, nooit zo over nagedacht, ik gebruik de ingebouwde camera app op mijn Andriod tablet. Me er toch maar even in verdiept en misschien is het verstandiger een app te gebruiken die de qr codes scant op url's e.d?

Bijvoorbeeld deze van Trend Micro:
https://play.google.com/store/apps/details?id=com.trendmicro.qrscan

Of gebruiken jullie (bijna) allemaal de ingebouwde camera app, en is een speciefike extra app overdreven?
08-02-2024, 15:15 door Anoniem
Door Anoniem: Dan kunnen ze beter zeggen dat mensen geen malafide apps moeten downloaden, aangezien er wel meer soorten apps malafide zijn.

Wow. Wat een BRILJANTE suggestie .

En zo nuttig ook, want precies IEDEREEN kan precies een malafide app herkennen. Maar , dankzij jouw suggestie weten ze nu dat ze die niet moeten installeren.

Dit is waarom publiekscommunicatie ook een vak is.

En ik denk dat de Britse NCSC een redelijke afweging gemaakt heeft : advies om alleen de systeem functie te gebruiken (die is in elk geval niet malafide ).

Het alternatieve advies - "iets anders dat de URL laat zien" - legt de last bij "het grote publiek" om 1) betrouwbare alternatieve app te vinden die ook de URL laat zien , én dan ook nog eens zinvol oordelen over de getoonde URLs.
Voor publieksvoorlichting is dat een hopeloos geval.

Dan is de afweging - gebruik de systeem app om te scannen, en gok maar dat de browser + safesearch + de generieke voorlichting omtrent phishing de schade van een eventuele malicious qr code beperkt houdt.
08-02-2024, 16:24 door Briolet
Door beaukey:Android -> "Google" app -> Search -> Google Lens -> scan QR code.

Dat werkt niet bij Android 7
08-02-2024, 17:03 door majortom
Door Briolet:
Door beaukey:Android -> "Google" app -> Search -> Google Lens -> scan QR code.

Dat werkt niet bij Android 7
Of in /e/ OS.
08-02-2024, 17:33 door Anoniem
Door Briolet:
Door beaukey:Android -> "Google" app -> Search -> Google Lens -> scan QR code.

Dat werkt niet bij Android 7

*kuch*

De support voor Android 7 (Nougat) is op 1 oktober 2019 geëindigd, zelfs de Microsoft Authenticator App werkt er niet langer meer op. (https://endoflife.date/android)

Misschien dat dat een goede aanleiding is om te overwegen een keer afscheid van de betreffende spulleboel te nemen, idem voor alle andere elektronica die op lagere versies dan Android 11 draait - nog even losstaand van de vraag of de fabrikant zijn telefoon updates nog netjes bij houdt, maar dat is toch weer een andere discussie.

Prima als je ouwe meuk wil blijven gebruiken omdat "ie-ut-nog-doet", als je je maar ervan bewust bent dat het ding qua cybersecurity per definitie een vergiet is en er geen dingen op doet die daar niet mee verenigbaar zijn. QR codes scannen met oude rommel is vragen om narigheid.
08-02-2024, 17:41 door Anoniem
Het enige juiste advies is scan gewoon nooit QR codes via telefoons.
Het is niet veilig het is niet standaard te controleren en het heeft werkelijk geen enkel nut.
08-02-2024, 19:56 door Anoniem
Door beaukey:
Door Briolet: Vreemd advies. In mijn smartphone zit geen QR app, dus je moet er wel een installeren. En dat is juist veiliger, want dan kun je een app installeren die eerst de URL laat zien en je het dan expliciet moet bevestigen om in een browser te openen.

Android -> "Google" app -> Search -> Google Lens -> scan QR code.

Sorry, geen G-apps in op mijn telefoon
09-02-2024, 05:33 door beaukey
Door Anoniem:
Door beaukey:
Door Briolet: Vreemd advies. In mijn smartphone zit geen QR app, dus je moet er wel een installeren. En dat is juist veiliger, want dan kun je een app installeren die eerst de URL laat zien en je het dan expliciet moet bevestigen om in een browser te openen.

Android -> "Google" app -> Search -> Google Lens -> scan QR code.

Sorry, geen G-apps in op mijn telefoon

iPhones hebben hun ingebouwde QR scanner

Deze URL toont QR apps voor Symbian: http://www.allaboutsymbian.com/reviews/item/14757_Review_roundup_QR_code_readers.php

Voor Blackbery (ook al standaard meegeleverd): https://docs.blackberry.com/en/blackberry-dynamics-apps/blackberry-access/3_5/blackberry-access-ios-user-guide/kzq1481745159974/Scan-a-QR-code

Als je andere mobiele hard- en/of software gebruiken, dan is het misschien verstandig even je apparatuur en gebruikte software hier te melden, zodat we je kunnen helpen bij het vinden van een goede (opensource?) QR scanner.
09-02-2024, 05:36 door beaukey
Door Anoniem: Het enige juiste advies is scan gewoon nooit QR codes via telefoons.
Het is niet veilig het is niet standaard te controleren en het heeft werkelijk geen enkel nut.

Dus scannen met een tablet is OK?

- Het is niet veilig
- het is niet standaard te controleren
- en het heeft werkelijk geen enkel nut.

Misschien kan deze 3 stellingen toelichten? Geldt dat dan alleen voor jou, of is dat voor meerdere (alle?) mensen die nu al QR codes scannen met hun smartphone?
09-02-2024, 05:40 door beaukey
Door majortom:
Door Briolet:
Door beaukey:Android -> "Google" app -> Search -> Google Lens -> scan QR code.

Dat werkt niet bij Android 7
Of in /e/ OS.

Als je daar de Google app niet in hebt (geinstalleerd), dan niet natuurlijk! In dat aspect heeft je reactie weinig toegevoegde waarde.

Als je al /e/ OS of AOSP of vergelijkbare producten gebruikt, weet je ook zelf wel een veilige (...) QR code scoren. Wel even een pentest uitvoeren na installatie, en ook na elke update (if any), dat proces herhalen.
09-02-2024, 08:02 door Anoniem
In F-Droid vindt een aantal veilige open source QR scanners. Zelf gebruik ik QR & Barcode Scanner. Ook deze is te vinden in F-Droid.
09-02-2024, 12:42 door Anoniem
Volgens het NCSC is het scannen van qr-codes in cafés en restaurants waarschijnlijk wel veilig.

Want je kunt ook (niet dus) zo goed controleren of niemand anders er een stikker over heen geplakt?
Het is gewoon altijd een risico een QR code te scannen: zelfs de camera app van de iPhone vertelt maar heel summier waar je uit gaat komen.

Bedrijven kunnen beter gewoon verkorte links (op hun eigen domeinnamen) aanbieden in hun flyers.
En dat we als consumenten smartphone makers oproepen hun scan-apps zo te maken dat je die makkelijk kunt scannen en kunt klikken (met OCR niet echt een issue meer). Dan kun je als mens gewoon zien waar je naar toe gaat en of dat betrouwbaar is.
09-02-2024, 14:39 door beaukey - Bijgewerkt: 09-02-2024, 14:40
Door Anoniem:

Volgens het NCSC is het scannen van qr-codes in cafés en restaurants waarschijnlijk wel veilig.

Want je kunt ook (niet dus) zo goed controleren of niemand anders er een stikker over heen geplakt?

Ik denk dat hier bedoeld wordt: door betaal automaten dynamisch gegenereerde QR codes, bijv. om af te rekenen. Dus niet een "statische" QR code "Scan deze code voor de hoofdprijs uit de Staatsloterij".

Dan kun je als mens gewoon zien waar je naar toe gaat en of dat betrouwbaar is.

Definieer "betrouwbaar" en hoe iemand (dus ook je oma) kan zien of iets betrouwbaar is of niet (https://bankieren.rabobank.nI/welcome)
09-02-2024, 16:51 door Anoniem
Door beaukey:
Door Anoniem: Het enige juiste advies is scan gewoon nooit QR codes via telefoons.
Het is niet veilig het is niet standaard te controleren en het heeft werkelijk geen enkel nut.

Dus scannen met een tablet is OK?

- Het is niet veilig
- het is niet standaard te controleren
- en het heeft werkelijk geen enkel nut.

Misschien kan deze 3 stellingen toelichten? Geldt dat dan alleen voor jou, of is dat voor meerdere (alle?) mensen die nu al QR codes scannen met hun smartphone?
Nee gewoon het hele concept van QR moet de prullenbak in.
Waar wij QR vroeger voor gebruikte was de vervanging van barcodes voor de interne inventarisatie van spullen in bijvoorbeeld topdesk of ander facility management suite.

Dit had nooit iets als een tool moeten worden gepresenteerd voor recreatief gebruik.


Het is niet veilig:
Dat is al tig keer gebleken je hoeft maar een zeroclick malware er te hebben en je bent de sjaak zelfs al heb je goede beveiliging en ben je security bewust. En voor het reguliere gros die klikt op elk willekeurige pop-up die ze in beeld krijgen.

Het is niet standaard te controleren op de meeste apparaten:
Je bent afhankelijk van een derde partij en quess what het is ook mogelijk om de preview van QR te spoofen.
Maar in tegenstelling tot een normale url kan ik niet even gauw extern een check doen op bijvoorbeeld certificate chain of trust.


Het heeft geen nut:
Het is een alternatief op shortlinks die ook onveilig zijn en men ook echt mee met kappen.
Er is een reden waarom we altijd volledig urls willen tonen omdat het de meeste standaard phising tegenhoudt.


Je mag me 1 toepassing noemen die voor consumenten noodzakelijk via een QR zou moeten en niet op conventionele veiligere methode kan. Gelet op dat je ook OCR kan toepassen voor minder validen. Voor je die route gaat bewandelen als argument maar even alvast genoemd.
09-02-2024, 17:08 door majortom - Bijgewerkt: 09-02-2024, 17:10
Door Anoniem:
Volgens het NCSC is het scannen van qr-codes in cafés en restaurants waarschijnlijk wel veilig.

Want je kunt ook (niet dus) zo goed controleren of niemand anders er een stikker over heen geplakt?
Het is gewoon altijd een risico een QR code te scannen: zelfs de camera app van de iPhone vertelt maar heel summier waar je uit gaat komen.

Bedrijven kunnen beter gewoon verkorte links (op hun eigen domeinnamen) aanbieden in hun flyers.
En dat we als consumenten smartphone makers oproepen hun scan-apps zo te maken dat je die makkelijk kunt scannen en kunt klikken (met OCR niet echt een issue meer). Dan kun je als mens gewoon zien waar je naar toe gaat en of dat betrouwbaar is.
Oef verkorte URLs op zich is al een risico. Je hebt dan echt geen idee meer waar je uitkomt. Nooit gebruiken, op klikken of na scannen QR naar toe gaan.

edit: zag niet dat je erbij had gezet "op hun eigen domeinnaam". Excuses, aangeslagen op "verkorte URL". Maar dat maakt de URL meteen wel een stuk langer in de meeste gevallen.
09-02-2024, 18:10 door beaukey
Door Anoniem:
Door beaukey:
Door Anoniem: Het enige juiste advies is scan gewoon nooit QR codes via telefoons.
Het is niet veilig het is niet standaard te controleren en het heeft werkelijk geen enkel nut.

Dus scannen met een tablet is OK?

- Het is niet veilig
- het is niet standaard te controleren
- en het heeft werkelijk geen enkel nut.

Misschien kan deze 3 stellingen toelichten? Geldt dat dan alleen voor jou, of is dat voor meerdere (alle?) mensen die nu al QR codes scannen met hun smartphone?
Nee gewoon het hele concept van QR moet de prullenbak in.
Waar wij QR vroeger voor gebruikte was de vervanging van barcodes voor de interne inventarisatie van spullen in bijvoorbeeld topdesk of ander facility management suite.

Dit had nooit iets als een tool moeten worden gepresenteerd voor recreatief gebruik.


Het is niet veilig:
Dat is al tig keer gebleken je hoeft maar een zeroclick malware er te hebben en je bent de sjaak zelfs al heb je goede beveiliging en ben je security bewust. En voor het reguliere gros die klikt op elk willekeurige pop-up die ze in beeld krijgen.

Het is niet standaard te controleren op de meeste apparaten:
Je bent afhankelijk van een derde partij en quess what het is ook mogelijk om de preview van QR te spoofen.
Maar in tegenstelling tot een normale url kan ik niet even gauw extern een check doen op bijvoorbeeld certificate chain of trust.


Het heeft geen nut:
Het is een alternatief op shortlinks die ook onveilig zijn en men ook echt mee met kappen.
Er is een reden waarom we altijd volledig urls willen tonen omdat het de meeste standaard phising tegenhoudt.


Je mag me 1 toepassing noemen die voor consumenten noodzakelijk via een QR zou moeten en niet op conventionele veiligere methode kan. Gelet op dat je ook OCR kan toepassen voor minder validen. Voor je die route gaat bewandelen als argument maar even alvast genoemd.

1. Het versturen van een lange sessiesleutel in een multifactor authenticatie (bijv. Veridium, Transmit, etc.)
2. Of de tweede factor in multifactor authenticatie (bijv. zoals met DigID)

Een opdracht: laat eens een willekeurig persoon, in dit geval je oma, een shorlink URL intoetsen in een browser, en tel het aantal keer dat er een correctie op de URL moet plaatsvinden voordat de website getoond wordt.

De QR code kan veel meer data bevatten dan een streepjescode. Dat levert een heel scala aan nieuwe mogelijkheden op. Die mogelijkheden worden niet weggegooid om (computertechnisch) middeleeuwse methodes voor terug te halen.

Je bent een roepende in de woestijn...
09-02-2024, 22:34 door Erik van Straten
Op een iPhone of iPad kun je, met wat doorzettingsvermogen, zelf een QR-/barcode scanner "app" maken - met uitsluitend boordmiddelen.

Hoe je dat Doe-Het-Zelft beschreef ik zojuist hier:
https://security.nl/posting/829026/#iOS_QR-scanner:_DHZ!
10-02-2024, 13:25 door Anoniem
Door beaukey:
Door Anoniem:
Door beaukey:
Door Anoniem: Het enige juiste advies is scan gewoon nooit QR codes via telefoons.
Het is niet veilig het is niet standaard te controleren en het heeft werkelijk geen enkel nut.

Dus scannen met een tablet is OK?

- Het is niet veilig
- het is niet standaard te controleren
- en het heeft werkelijk geen enkel nut.

Misschien kan deze 3 stellingen toelichten? Geldt dat dan alleen voor jou, of is dat voor meerdere (alle?) mensen die nu al QR codes scannen met hun smartphone?
Nee gewoon het hele concept van QR moet de prullenbak in.
Waar wij QR vroeger voor gebruikte was de vervanging van barcodes voor de interne inventarisatie van spullen in bijvoorbeeld topdesk of ander facility management suite.

Dit had nooit iets als een tool moeten worden gepresenteerd voor recreatief gebruik.


Het is niet veilig:
Dat is al tig keer gebleken je hoeft maar een zeroclick malware er te hebben en je bent de sjaak zelfs al heb je goede beveiliging en ben je security bewust. En voor het reguliere gros die klikt op elk willekeurige pop-up die ze in beeld krijgen.

Het is niet standaard te controleren op de meeste apparaten:
Je bent afhankelijk van een derde partij en quess what het is ook mogelijk om de preview van QR te spoofen.
Maar in tegenstelling tot een normale url kan ik niet even gauw extern een check doen op bijvoorbeeld certificate chain of trust.


Het heeft geen nut:
Het is een alternatief op shortlinks die ook onveilig zijn en men ook echt mee met kappen.
Er is een reden waarom we altijd volledig urls willen tonen omdat het de meeste standaard phising tegenhoudt.


Je mag me 1 toepassing noemen die voor consumenten noodzakelijk via een QR zou moeten en niet op conventionele veiligere methode kan. Gelet op dat je ook OCR kan toepassen voor minder validen. Voor je die route gaat bewandelen als argument maar even alvast genoemd.

1. Het versturen van een lange sessiesleutel in een multifactor authenticatie (bijv. Veridium, Transmit, etc.)
2. Of de tweede factor in multifactor authenticatie (bijv. zoals met DigID)

Een opdracht: laat eens een willekeurig persoon, in dit geval je oma, een shorlink URL intoetsen in een browser, en tel het aantal keer dat er een correctie op de URL moet plaatsvinden voordat de website getoond wordt.

De QR code kan veel meer data bevatten dan een streepjescode. Dat levert een heel scala aan nieuwe mogelijkheden op. Die mogelijkheden worden niet weggegooid om (computertechnisch) middeleeuwse methodes voor terug te halen.

Je bent een roepende in de woestijn...
Ah ja gemackzucht boven veiligheid dus.
1. Wat dacht je van een MFA, OTP combo instead?


En ja er kan meer info in een QR code (Dat is mede waarom het niet veilig is)
Ben ik eentje van roepend in de woestijn? Zijn we dat bijna allemaal niet als je in cyersecurity zit? Hoe vaak is advies zelfs aan branchegenoten wel niet aan dovenmans oren gericht?

Enig idee hoeveel pentesten op locatie gelukt zijn door slimme gasten die een QR code hebben gescanned die over een originele zijn geplakt of random in een hoekje zijn geplakt op een snack automaat? Het is de nieuwe vorm van de USB dongle taktiek. Nieuwsgierigheid is de beste wapen tegen beveiliging. Hier een infiltratie voorbeeld die we jaren geleden deden. Wachten tot er een presentatie ergens gegeven zou worden prepareer blad tussen de prints leggen voorzien van QR code met payload. Koste 2 uur en we zaten in directie systemen.


Ik zou een ouder persoon nooit een advies geven om een link shortner of qr te gebruiken. Wat ik zou doen is hem haar assisteren met een lijstje websites daar pictogrammen van maken en aangeven dat ze die het veiligst kunnen gebruiken voor basis zaken zoals bank.

Gewerkt voor onder andere zorg centra kan je zeggen de meeste sht die ik tegenkwam kwam niet door fout intypen maar door dat ze moetwillig dingen gingen zoeken die ze niet moesten op spullen die niet van hun zijn. Ga maar eens naar een zorgcentra en vraag aan de IT daar hoevaak ze porno hebben moeten verwijderen van de bibliotheek PC's omdat opa harold alles had aangeklikt en opengelaten vlak voor bezoek uur met de kids.
Nog niet te hebben over de shit die leraren en onder andere artsten uitvreten op bedrijfsnetwerken.

Het hebben van een onveilige standaard die niet controleerbare informatie overdracht bemoedig helpt daar 0,0 bij.
10-02-2024, 19:14 door beaukey
Vandaag, 13:25 door Anoniem
Ah ja gemackzucht boven veiligheid dus.
1. Wat dacht je van een MFA, OTP combo instead?

No good. Vereist het intikken van een OTP. Zelfs dat is al lastig voor heel mensen. QR + biometrie zijn de twee dominante factoren in 2FA (hebben + zijn).

Enig idee hoeveel pentesten op locatie gelukt zijn door slimme gasten die een QR code hebben gescanned die over een originele zijn geplakt of random in een hoekje zijn geplakt op een snack automaat?

Nee, en het is ook niet relevant voor deze discussie omdat de QR codes met 2FA dynamisch gereageerd worden. Ik heb daar nog nooit een succesvolle pentest van gezien. Wel een DoS, maar ook daar hebben we het niet niet over.

Ik wens je succes met het implementeren van "Wat ik zou doen is hem haar assisteren met een lijstje websites daar pictogrammen van maken en aangeven dat ze die het veiligst kunnen gebruiken voor basis zaken zoals bank." voor grote groepen gebruikers. Allemaal hun eigen bank, allemaal hun eigen authenticatie methodes, een dagtaak voor het aanmaken voor snelkoppelingen...!
11-02-2024, 13:11 door majortom
Door beaukey:
Vandaag, 13:25 door Anoniem
Ah ja gemackzucht boven veiligheid dus.
1. Wat dacht je van een MFA, OTP combo instead?

No good. Vereist het intikken van een OTP. Zelfs dat is al lastig voor heel mensen. QR + biometrie zijn de twee dominante factoren in 2FA (hebben + zijn).

Enig idee hoeveel pentesten op locatie gelukt zijn door slimme gasten die een QR code hebben gescanned die over een originele zijn geplakt of random in een hoekje zijn geplakt op een snack automaat?

Nee, en het is ook niet relevant voor deze discussie omdat de QR codes met 2FA dynamisch gereageerd worden. Ik heb daar nog nooit een succesvolle pentest van gezien. Wel een DoS, maar ook daar hebben we het niet niet over.

Ik wens je succes met het implementeren van "Wat ik zou doen is hem haar assisteren met een lijstje websites daar pictogrammen van maken en aangeven dat ze die het veiligst kunnen gebruiken voor basis zaken zoals bank." voor grote groepen gebruikers. Allemaal hun eigen bank, allemaal hun eigen authenticatie methodes, een dagtaak voor het aanmaken voor snelkoppelingen...!
Deze discussie ontspoort een beetje. Het artikel ging over het scannen van "standaard" QR codes via een standaard QR code scanner (dus QR codes die bijvoorbeeld een URL van een website representeren).

Voor 2FA-achtige toepassingen gebruik je nooit de standaard generic purpose QR scanner maar altijd een specifieke (zoals een TOTP-applicatie, een bankapp oid). Deze QR codes bevatten geen generieke data maar applicatie specifieke data (die als het goed is moeilijk is te faken). Wel te scannen met een standaard scanner maar daarvoor zijn het in essentie gewoon een opeenvolging van bytes zonder waarde (wel te gebruiken om te zien wat de content is en eventueel daarop een aanval te doen, indien slecht beveiligd).
11-02-2024, 18:49 door beaukey
Door majortom:
Door beaukey:
Vandaag, 13:25 door Anoniem
Ah ja gemackzucht boven veiligheid dus.
1. Wat dacht je van een MFA, OTP combo instead?

No good. Vereist het intikken van een OTP. Zelfs dat is al lastig voor heel mensen. QR + biometrie zijn de twee dominante factoren in 2FA (hebben + zijn).

Enig idee hoeveel pentesten op locatie gelukt zijn door slimme gasten die een QR code hebben gescanned die over een originele zijn geplakt of random in een hoekje zijn geplakt op een snack automaat?

Nee, en het is ook niet relevant voor deze discussie omdat de QR codes met 2FA dynamisch gereageerd worden. Ik heb daar nog nooit een succesvolle pentest van gezien. Wel een DoS, maar ook daar hebben we het niet niet over.

Ik wens je succes met het implementeren van "Wat ik zou doen is hem haar assisteren met een lijstje websites daar pictogrammen van maken en aangeven dat ze die het veiligst kunnen gebruiken voor basis zaken zoals bank." voor grote groepen gebruikers. Allemaal hun eigen bank, allemaal hun eigen authenticatie methodes, een dagtaak voor het aanmaken voor snelkoppelingen...!
Deze discussie ontspoort een beetje. Het artikel ging over het scannen van "standaard" QR codes via een standaard QR code scanner (dus QR codes die bijvoorbeeld een URL van een website representeren).

Voor 2FA-achtige toepassingen gebruik je nooit de standaard generic purpose QR scanner maar altijd een specifieke (zoals een TOTP-applicatie, een bankapp oid). Deze QR codes bevatten geen generieke data maar applicatie specifieke data (die als het goed is moeilijk is te faken). Wel te scannen met een standaard scanner maar daarvoor zijn het in essentie gewoon een opeenvolging van bytes zonder waarde (wel te gebruiken om te zien wat de content is en eventueel daarop een aanval te doen, indien slecht beveiligd).

Dit zijn correcte opmerkingen. Zoals ik al eerder schreef:

"1. Het versturen van een lange sessiesleutel in een multifactor authenticatie (bijv. Veridium, Transmit, etc.)
2. Of de tweede factor in multifactor authenticatie (bijv. zoals met DigID)"

De "ondoorzichtigheid" van statische QR codes kan problemen geven (sticker met je eigen QR code op een andere plakken). Sommige mensen zullen daar intrappen. Het gebeurde zelfs op een Amerikaanse hacker conferentie, waar bij een van de regeringsdiensten een QR code toonde die de smartphone besmette.

Deze kwetsbaarheid leent zich echter niet voor grootschalige aanvallen, dus zit in het de hoek van "aanvaardbare" risico's.

Ik denk dat we voldoende hebben geschreven over dit onderwerp. Over tot de orde van de dag.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.