Bundesamt für Sicherheit in der Informationstechnik

G 5.177 Missbrauch von Kurz-URLs oder QR-Codes

Webseiten werden üblicherweise über eine URL (Uniform Resource Locator) angesteuert, die daher auch Web-Adresse genannt wird. Die Komplexität vieler Webseiten führt häufig zu relativ langen Web-Adressen, die schwer zu merken sind und vor allem bei mobilen Endgeräten wie Smartphones nicht in einer Zeile dargestellt werden können. Daher haben sich verschiedene Methoden entwickelt, um den Benutzern die Nutzung von Webadressen zu erleichtern. Prominente Vertreter sind Kurz-URLs und QR-Codes.

Kurz-URLs

Kurz-URLs bezeichnen einen weitverbreiteten Dienst im Internet, bei dem lange URLs durch kürzere URLs ersetzt werden. Kurz-URLs erleichtern es, Referenzen und Verweisen in Zeitschriftenartikeln zu folgen. Viele Artikel in papiergebundenen Zeitschriften verweisen auf Quellen aus dem Internet bzw. enthalten Hinweise zu Internetseiten. Anders als bei Online-Artikeln müssen diese per Hand abgetippt werden. Kurz-URLs verringern den Aufwand dafür erheblich. Kurz-URLs haben also einige Vorteile, aber auch einige Risiken:

  • Verfügbarkeit: Kurz- URL s werden, ohne dass die Benutzer eingreifen müssen, über die Datenbank eines Dienstleisters in die dort hinterlegte ursprüngliche Web-Adresse aufgelöst. Diese Datenbank mit den Zuordnungen zwischen den kurzen und langen URLs muss verfügbar sein. Große Datenbanken haben Milliarden an Einträgen. Fällt die Datenbank zeitweise oder dauerhaft aus, sind Milliarden von Kurz-URLs unbrauchbar. Ferner kann es sein, dass der bisherige Anbieter eines Dienstes die Nutzungsbedingungen ändert, so dass die darüber generierten Kurz-URLs nicht mehr ohne weiteres genutzt werden können.
  • Datenschutz: Durch die Benutzung von Kurz-URLs kann der Anbieter des Dienstes nachvollziehen, welche IP-Adresse wann auf welche Seite zugegriffen hat.
  • Integrität: Aus einer Kurz-URL ist nicht ersichtlich, wohin sie verweist. Daher sind Kurz-URLs für alle Formen von Angriffen attraktiv, bei denen Benutzer auf manipulierte Webseiten gelockt werden sollen. So ist beispielsweise bei einer gefälschten E-Mail-Adresse eines eventuell bekannten Absenders, die eine Kurz-URL enthält, die Chance größer, dass der Link wirklich angeklickt wird. Ferner kann die Datenbank des Anbieters der Kurz-URL manipuliert worden sein, so dass die Kurz-URLs gar nicht mehr auf ihr eigentliches Ziel verweisen.

QR-Codes

QR-Codes (Quick Response) sind, ähnlich wie Barcodes, Darstellungen von Daten in maschinenlesbarer Form, in diesem Fall handelt es sich typischerweise um Quadrate, in denen mit Mustern aus kleineren Quadraten Informationen standardisiert gespeichert sind. QR-Codes finden sich oft auf Produkten oder Verbraucherinformationen und dienen dazu, Anwender auf zusätzliche Informationsquellen zu verweisen, die für diese nützlich oder interessant sein könnten. Die Anwender müssen den jeweiligen QR-Code zunächst abfotografieren oder einscannen, z. B. mit ihrem Smartphone. Auf dem Endgerät muss außerdem eine Applikation installiert sein, um die in den QR-Codes enthaltenen Informationen wie beispielsweise URLs, Adressen, Telefonnummern oder WLAN -Zugangsinformationen aufzulösen. Ein häufiges Anwendungsszenario sind QR-Codes auf Prospekten, in denen eine URL codiert ist, aber auch in industriellen Umgebungen und in der Logistik werden sie oft eingesetzt.

QR-Codes sind mit einer hohen Fehlertoleranz maschinenlesbar, lassen sich aber von Menschen nicht ohne weiteres dekodieren. Daher können Benutzer vor dem Einlesen eines QR-Codes nicht erkennen, welche Informationen in diesem kodiert wurden. Die Gefährdungen sind ähnlich wie bei Kurz-URLs. Beispielsweise könnten QR-Codes auf Webseiten mit Schadsoftware oder auf kostenpflichtige Service-Rufnummern verweisen. Außerdem könnten QR-Codes auch Informationen enthalten, über die Schwachstellen im Betriebssystem des auslesenden Endgerätes ausgenutzt werden. Beispielweise könnte ein QR-Code Programmaufrufe beinhalten, die zu einen Buffer Overflow oder zu einem Injection-Angriff führen.

Beispiel:

  • Ein Angreifer erstellte einen QR-Code, der auf über eine URL auf eine Webseite verwies, die mit Schadsoftware für ein weitverbreitetes Smartphone-Betriebssystem verseucht war. Diesen druckte er im passenden Format aus und überklebte damit zahlreiche QR-Codes auf Litfaßsäulen und anderen Werbeträgern auf einer gut besuchten Technik-Messe. Zahlreiche Anwender lasen den QR-Code ein, wodurch deren Smartphones mit der Schadsoftware infiziert und kostenpflichtige SMS an einen ausländischen Dienst auf Kosten der Anwender verschickt wurden.

Stand: 13. EL Stand 2013