【日本發明系列】你確定你掃的QR碼，是安全的嗎?

日本東海大學的研究人員發表了一篇論文，
題為「利用不可見光雷射照射產生動態偽裝QR碼」，
該論文提出了一種通過對QR碼進行雷射光照射，
在任何時間都可以生成偽裝QR碼，
並將用戶引導到惡意網站的方法。

而且用這方法修改的QR碼
人的肉眼是看不出來，
只有在手機等讀QR碼連結至網站時，
才會引導用戶到另一個惡意網站。

就讓我們透過影片，
看看到底是什麼科技，
才能在神不知鬼不覺的情況下
修改你正在讀的QR碼吧!

而且用這方法修改的QR碼
人的肉眼是看不出來，
只有在手機等讀QR碼連結至網站時，
才會引導用戶到另一個惡意網站。

過去要把正規QR碼轉換為偽裝QR碼的方法，
大多都是在正規QR碼上貼上偽裝QR碼貼紙，
又或者在正規QR碼上多貼一層透明紙
來填補空白或者蓋住黑色等來偽造。
但是這樣的方法在修改後始終會維持引導至惡意網站，
所以很容易被發現後修正。

2018年也有其他研究團隊提出了一種新的方法，
就是利用了QR碼有些骯髒也可以讀取的自動補正功能
通過塗改一些黑白地方顏色來混淆少數模塊的黑白判定
概率性地導向兩個不同的網站。

但是由於概率只有1%左右，
雖然的確是很難被發現，
但由於讀取一百次只會成功一次，
所以無法成為能攻擊特定人士的手段。

本次日本東海大學的研究人員研究挑戰這個問題，
提出了一種可以高概率引導特定對象進入惡意網站的方法。
那就是遠程使用雷射光照射QR碼，
將其暫時偽裝成另一個QR碼。

這個雷射光能夠通過照射QR碼模塊的一部分，
讓原本應該是黑色的部分被識別為白色，
進而引導使用者進入與原本不同的網站。

這個方法的原理是利用了雷射光照射黑色區域時，
會造成人的肉眼看不見的反光，
進而讓手機照相時把原本是黑色的地方判讀成白色地方，
就能夠高概率的把對方引導至惡意網站。

由於雷射光的射程遙遠，
所以這機器就算設置在4公尺的距離，
也能夠成功隨時變更QR碼

但是目前還是有一個缺點，
那就是如果使用手機拍攝的人，
用某些特定角度拍攝時，
不會拍到雷射光引起的反光，
所以就不會被引導至惡意網站。

研究人員也指出如果要避免被這種雷射光方式
引導至惡意網站的話，
或許一些開發讀取QR碼程式軟體的公司，
需要在軟體裡面加入偵測到異常反光並補正，
就能夠避免有心人士用雷射光來騙你去惡意網站。