G 5.177 Missbrauch von Kurz-URLs oder QR-Codes

Webseiten werden üblicherweise über eine URL (Uniform Resource Locator) angesteuert, die daher auch Web-Adresse genannt wird. Die Komplexität vieler Webseiten führt häufig zu relativ langen Web-Adressen, die schwer zu merken sind und vor allem bei mobilen Endgeräten wie Smartphones nicht in einer Zeile dargestellt werden können. Daher haben sich verschiedene Methoden entwickelt, um den Benutzern die Nutzung von Webadressen zu erleichtern. Prominente Vertreter sind Kurz-URLs und QR-Codes.

Kurz-URLs

Kurz-URLs bezeichnen einen weitverbreiteten Dienst im Internet, bei dem lange URLs durch kürzere URLs ersetzt werden. Kurz-URLs erleichtern es, Referenzen und Verweisen in Zeitschriftenartikeln zu folgen. Viele Artikel in papiergebundenen Zeitschriften verweisen auf Quellen aus dem Internet bzw. enthalten Hinweise zu Internetseiten. Anders als bei Online-Artikeln müssen diese per Hand abgetippt werden. Kurz-URLs verringern den Aufwand dafür erheblich. Kurz-URLs haben also einige Vorteile, aber auch einige Risiken:

QR-Codes

QR-Codes (Quick Response) sind, ähnlich wie Barcodes, Darstellungen von Daten in maschinenlesbarer Form, in diesem Fall handelt es sich typischerweise um Quadrate, in denen mit Mustern aus kleineren Quadraten Informationen standardisiert gespeichert sind. QR-Codes finden sich oft auf Produkten oder Verbraucherinformationen und dienen dazu, Anwender auf zusätzliche Informationsquellen zu verweisen, die für diese nützlich oder interessant sein könnten. Die Anwender müssen den jeweiligen QR-Code zunächst abfotografieren oder einscannen, z. B. mit ihrem Smartphone. Auf dem Endgerät muss außerdem eine Applikation installiert sein, um die in den QR-Codes enthaltenen Informationen wie beispielsweise URLs, Adressen, Telefonnummern oder WLAN -Zugangsinformationen aufzulösen. Ein häufiges Anwendungszenario sind QR-Codes auf Prospekten, in denen eine URL codiert ist, aber auch in industriellen Umgebungen und in der Logistik werden sie oft eingesetzt.

QR-Codes sind mit einer hohen Fehlertoleranz maschinenlesbar, lassen sich aber von Menschen nicht ohne weiteres dekodieren. Daher können Benutzer vor dem Einlesen eines QR-Codes nicht erkennen, welche Informationen in diesem kodiert wurden. Die Gefährdungen sind ähnlich wie bei Kurz-URLs. Beispielsweise könnten QR-Codes auf Webseiten mit Schadsoftware oder auf kostenpflichtige Service-Rufnummern verweisen. Außerdem könnten QR-Codes auch Informationen enthalten, über die Schwachstellen im Betriebssystem des auslesenden Endgerätes ausgenutzt werden. Beispielweise könnte ein QR-Code Programmaufrufe beinhalten, die zu einen Buffer Overflow oder zu einem Injection-Angriff führen.

Beispiel: