【日本發明系列】你確定你掃的QR碼,是安全的嗎?

日本東海大學的研究人員發表了一篇論文,
題為「利用不可見光雷射照射產生動態偽裝QR碼」,
該論文提出了一種通過對QR碼進行雷射光照射,
在任何時間都可以生成偽裝QR碼,
並將用戶引導到惡意網站的方法。

而且用這方法修改的QR碼
人的肉眼是看不出來,
只有在手機等讀QR碼連結至網站時,
才會引導用戶到另一個惡意網站。

就讓我們透過影片,
看看到底是什麼科技,
才能在神不知鬼不覺的情況下
修改你正在讀的QR碼吧!

日本東海大學的研究人員發表了一篇論文,
題為「利用不可見光雷射照射產生動態偽裝QR碼」,
該論文提出了一種通過對QR碼進行雷射光照射,
在任何時間都可以生成偽裝QR碼,
並將用戶引導到惡意網站的方法。

而且用這方法修改的QR碼
人的肉眼是看不出來,
只有在手機等讀QR碼連結至網站時,
才會引導用戶到另一個惡意網站。

過去要把正規QR碼轉換為偽裝QR碼的方法,
大多都是在正規QR碼上貼上偽裝QR碼貼紙,
又或者在正規QR碼上多貼一層透明紙
來填補空白或者蓋住黑色等來偽造。
但是這樣的方法在修改後始終會維持引導至惡意網站,
所以很容易被發現後修正。

2018年也有其他研究團隊提出了一種新的方法,
就是利用了QR碼有些骯髒也可以讀取的自動補正功能
通過塗改一些黑白地方顏色來混淆少數模塊的黑白判定
概率性地導向兩個不同的網站。

但是由於概率只有1%左右,
雖然的確是很難被發現,
但由於讀取一百次只會成功一次,
所以無法成為能攻擊特定人士的手段。

本次日本東海大學的研究人員研究挑戰這個問題,
提出了一種可以高概率引導特定對象進入惡意網站的方法。
那就是遠程使用雷射光照射QR碼,
將其暫時偽裝成另一個QR碼。

這個雷射光能夠通過照射QR碼模塊的一部分,
讓原本應該是黑色的部分被識別為白色,
進而引導使用者進入與原本不同的網站。

這個方法的原理是利用了雷射光照射黑色區域時,
會造成人的肉眼看不見的反光,
進而讓手機照相時把原本是黑色的地方判讀成白色地方,
就能夠高概率的把對方引導至惡意網站。

由於雷射光的射程遙遠,
所以這機器就算設置在4公尺的距離,
也能夠成功隨時變更QR碼

但是目前還是有一個缺點,
那就是如果使用手機拍攝的人,
用某些特定角度拍攝時,
不會拍到雷射光引起的反光,
所以就不會被引導至惡意網站。

研究人員也指出如果要避免被這種雷射光方式
引導至惡意網站的話,
或許一些開發讀取QR碼程式軟體的公司,
需要在軟體裡面加入偵測到異常反光並補正,
就能夠避免有心人士用雷射光來騙你去惡意網站。

FACEBOOK