QRLJacking ist eine Angriffstechnik, die von einem Cyber-Sicherheitsforscher entwickelt wurde, um QR Code Based Quick Login System zu umgehen.

Viele Desktop-Anwendungen wie Line, WeChat und WhatsApp ermöglichen es Benutzern, sich mit der Secure Quick Response Login-Methode zu authentifizieren, die auf QR-Code basiert. Das QR-Code basierte Authentifizierungssystem ermöglicht es Benutzern, schnell auf eine Website zuzugreifen, ohne ein Passwort anzugeben.

Das QR-Code basierte Authentifizierungssystem ermöglicht es Benutzern, schnell auf eine Website zuzugreifen, ohne ein Passwort anzugeben.

Whatsapp Web QR Code

Im Secure Quick Response Login-Mechanismus würde die Website dem Benutzer einen QR-Code anzeigen, die Benutzer müssen ihn nur mit einer Handy-Applikation scannen. Um den z.B. Whatsapp Web qr code umgehen zu können ist einiges an know how im technischen Bereich erforderlich. Die Wahrscheinlichkeit ob das überhaupt geht ist nicht sehr hoch – Whatsapp oder viel mehr Facebook wird sich dabei was gedacht haben

Sobald der Code gescannt wurde…

Sobald der QR-Code gescannt ist, würde die Website den Zugriff des Benutzers autorisieren. Diese Methode gilt als sicherer gegenüber Passwörtern, da sie resistent gegen Angriffe wie MiTM und Brute-Force ist, aber leider haben Hacker einen Weg gefunden, sie mit einer Angriffsmethode namens QRLJacking (alias Hijacking QR Code Based Login System) zu besiegen.

Der ägyptische Cyber-Sicherheitsexperte Mohamed Abdelbasset Elnouby zeigte, wie man Konten von Diensten hackt, die den Login mit QR-Code-Authentifizierung implementieren. Der Forscher veröffentlichte einen Proof-of-Concept, der die QRLJacking-Technik demonstriert, der Angreifer muss das Opfer nur davon überzeugen, den QR-Code des Angreifers zu scannen.

Mohamed erläuterte den QRLJacking-Angriff den Kollegen von THN und gab ihnen auch eine Live-Demonstration über Skype.

Unterhalb der Angriffssequenz:

  1. Der Angreifer initialisiert eine clientseitige QR-Sitzung und klont den Login-QR-Code in eine Phishing-Seite.
  2. Der Angreifer sendet dann die Phishing-Seite an das Opfer.
  3. Wenn das Opfer überzeugt ist, scannt es den QR-Code mit einer speziellen, zielgerichteten Mobile App.
  4. Die mobile App sendet das geheime Token an den Zieldienst, um den Authentifizierungsprozess abzuschließen.
  5. Dadurch erhält der Angreifer, der eine clientseitige QR-Sitzung initialisiert, die Kontrolle über das Konto des Opfers.
  6. Dann beginnt der Dienst mit dem Austausch aller Daten des Opfers mit der Browsersitzung des Angreifers.
  7. „Die Angreifer müssen tun, um einen erfolgreichen QRLJacking-Angriff zu initialisieren, indem sie ein Skript schreiben, um regelmäßig die ablaufenden QR-Codes zu klonen und die auf der von ihnen erstellten Phishing-Website angezeigten zu aktualisieren, denn wie wir wissen, sollte ein gut implementierter QR-Login-Prozess ein Ablaufintervall für die QR-Codes haben“, heißt es in der Erklärung.
  8. Ein Angreifer kann das QRLJacking nutzen, um Konten für Dienste zu übernehmen, die auf der anfälligen QR-Code-basierten Login-Authentifizierung basieren.
  9. Weitere Informationen finden Sie auf der QRLjacking-Seite des Github-Experten.