ツイート
2018.06.25
QRコードのエラー訂正技術を悪用し、指定した確率で別のデータを読み出せるようにするという脆弱性
実用性の高そうな技術だな
Category:科学・技術・研究
コメント
いいっすね!
001 [06.25 21:25]匿名さん@Dion:イマイチ実用的?じゃないような。既存のコードを改変できるわけでもないし、新しく作るやつ限定とか攻撃を成功させるのが難しすぎる。研究者?の勇み足か宣伝したがりか。 ↑
002 [06.25 21:27]匿名さん@Dion:そもそもデンソーもセキュアなQRコード発表済みみたいだね ↑
003 [06.25 22:30]ふぇちゅいんさんふぁん(ゆるりゆラリー)★73:エラー訂正でで復元されるデータをコントロールできるってことか。同じのを読んでも、ほとんどは正しく読めて、たまに間違ったサイトに飛んでしまうってのがポイントなんだね。逆に、正しく読めた場合は外れ/エラー復元されると当たりみたいな抽選サイトとか面白いかも。 ↑
004 [06.26 12:50]匿名さん@Au:>>001 既存コードの改変は上からシール貼ればできちゃうんじゃない?街中にあるポスターとか張り替えされると脅威ですよ。 ↑
005 [06.26 16:14]匿名さん@OCN:>>004 その攻撃が許されるならどんな手段でも脆弱性ありですよ?w 実際中国で起きてるようだし。今回の発表はほとんど意味がないというか、そらそうでしょうけどそれが?という感じがする。 ↑
006 [06.26 16:43]ん?@OCN:素人目には、確実に不正サイトに飛ばされるよりは、「指定した確率」で飛ばされる方が悪質というか、発見されにくい攻撃になるように思えるけどねえ・・・。アメリカ・イスラエル合同のサイバー攻撃と言われているStuxnetでは発見を免れる為に、かなり巧妙な仕組みが仕込まれていたらしいし。 ↑
007 [06.26 18:14]も@OCN:ネタを仕込むとしてもどの時点で入れればいいのか。印刷所?オンラインで表示するQRコードだと無理じゃね? ↑
008 [06.26 22:41]匿名さん@Au:>>005 だから上書きされても全てが改変される訳じゃないってのがミソなんですよ。QRコード決済なら売上が全く入って来なければすぐ気がつくけど、10%とか一部だけ抜き取られていくようならなかなか気がつかないよ。 ↑
009 [06.27 09:27]匿名さん@OCN:>>008 人力で集計してるわけもないし、1件でもおかしければ調査するよ。お金がらみを甘く見てはいけない。 ↑
010 [06.27 11:11]匿名さん@Au:ターゲットになるのは店舗に提示されているQRコードを読み取るタイプだと思うんだけど、その手の店舗(屋台とか)だとどんぶり勘定なところも多いイメージなんですが… ↑
011 [06.27 11:16]匿名さん@Au:実証コードにあるURLの改変も同じQRコードなら常に同じというイメージがあるから、確認したとしても最初の一回という人も多いのではと思うのですよ。ルーターの脆弱性突くとかよりよっぽど楽。 ↑
012 [06.27 18:14]な@OCN:決済用途なら専用アプリで読ませるんだろうし改変されても検知できるだろ ↑
013 [06.27 22:50]匿名さん@Au:想定しているのは通常は店舗のアカウントで一定確率で攻撃者のアカウントになるQRコード。アカウント自体は正規のものなんだから検知できないよ。 ↑
014 [06.28 15:47]匿名さん@OCN:よくわからんね。個別のアカウント情報が店舗に掲示されるわけないし。QRで読み取ったデータ自体にそのサービスでのチェックデジットぐらいあるだろうし。個別のアカウント情報がオンラインで表示されるなら付け入るスキがさらに狭いし。 ↑
015 [06.28 19:52]匿名さん@Au:客が提示したQRコードを店がPOSで読み取って決済するタイプ(アリペイで言うPay)をイメージしているんだろうけど、自分が言っているのは店が提示しているQRコードを客が自分にスマホで読み取って決済するタイプ(アリペイで言うScan)こっちは客が印刷されているQRコードを読み取って金額を入力、決済完了画面を店に見せれば取引が成立する。 ↑
016 [06.28 20:10]匿名さん@Au:今まではQRコードをすり替えると店には収入が入らなくなるからすぐ気付かれるけど、この脆弱性を利用すれば気がつくのを遅らせることができる。 ↑
017 [06.28 20:22]匿名さん@Dion:そういう改変に弱すぎる方式は淘汰されるんだろうね ↑
018 [06.28 23:41]ふぇちゅいんさんふぁん(ゆるりゆラリー)★73:>>016 中国のQRコード決済は、入金がリアルタイムでわかるんじゃなかったっけ? ↑
019 [06.29 05:16]匿名さん@Dion:通知は来るみたいだけどあまり気にしているようではないみたいね。https://the01.jp/p0005594/数十回に1回くらいなら「たまたま通知が来なかったのかな」と思っちゃいそう。 ↑
020 [06.29 19:01]匿名さん@OCN:この攻撃が効いちゃうシステムがクソってことか ↑
→カテゴリー:科学・技術・研究(記事数:594)
アクセス数の多い記事(過去1ヶ月)
