В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций
Одно из самых заметных проявлений описанной тенденции - повсеместное использование коротких ссылок и QR-кодов (от англ. quick response - "быстрый отклик") используется в рекламе, в информационных сообщениях и пр.1. Короткие ссылки служат для сокращения названий длинных доменных имен, чтобы они умещались в меньшее количество символов. Так, например, компания Google позволяет использовать свой сервис goo.gl URL Shortener, чтобы создавать короткие ссылки формата goo.gl\. Стоит обратить внимание, что доменная зона gl принадлежит Гренландии, а для таких стран, как Кокосовые Острова (зона .cc) регистрация подобных "сокращающих" сервисов является хорошим способом пополнить бюджет.
А QR-код - это матричный штрихкод, по-своему визуализирующий "зашитую" в него конечную ссылку, направленную, например, на страницу в сети Интернет. QR-код может также зашифровать и текстовую информацию, в том числе SMS, и цифровые ряды, например номер телефона. Разработанная еще в 1994 г. и запатентованная компанией Denso-Wave технология, внешне похожая на пазл из черных и белых кусочков, получила широчайшее развитие в первом десятилетии XXI в., хотя уже в 2006 г. стала стандартизированной технологией предоставления информации (ISO/ЕС 18004:2006)2. Так, за 2011 г. прирост пользователей этой технологии в мире составил 800%3, при том что в США, где смартфонами пользуются уже более 100 млн человек4, только 4%5 рекламных сообщений в печатных изданиях используют QR-коды. Основное место использования QR-кодов - это Интернет. Чтобы использовать этот 2D-код по назначению, вам нужно иметь установленное специальное ПО на смартфоне с фотокамерой и, конечно, доступ в Интернет, чтобы перейти по опознанной ссылке. Несмотря на то что способ определения конечной ссылки "вручную"6 открыт для ознакомления, использование специального QR-сканера значительно удобнее и уже не зависит от ОС (iOS, Android или Windows Phone), установленной на смартфоне и планшетнике.
Создание QR-кодов - задача достаточно простая. Являясь открытой технологией, любой желающий программист может написать свой QR-генератор7 либо воспользоваться любым из уже имеющихся. Вы просто подставляете свою конечную ссылку, а генератор быстро выдает вам ее визуальный аналог в форме QR. Далее изображение QR-кода можно использовать по вашему назначению. При этом конечной ссылкой может быть как страница в Интернете, например Web-страница популярного
фильма, так и ссылка на скачивание программы. Мобильные приложения для смартфонов распространяются как напрямую через виртуальные магазины приложений (например, Google Play, iStore и Windows Marketplace), так и на сайтах производителей. Согласитесь, это в разы удобнее и проще, чем пытаться запомнить или записать длинные ссылки со всеми их точками, "слешами" и другими символами. Таким образом, получаем два вида ссылок: прямые и непрямые. Первые позволяют получить информацию сразу же, перейдя по ссылке, вторые - установив какое-то специальное приложение для потребления последующего контента. И зачастую именно вторые несут в себе опасность. Ведь QR-код также может ссылаться на зараженную страницу, где расположен, например, троян для смартфона, который будет рассылать платные SMS8. А теперь представьте себе масштаб возможной проблемы, например в Швеции, которая с недавних пор выпускает банкноту в 500 крон с QR-кодом (рис.), ссылающимся на Банк Швеции, если эта страница вдруг окажется зараженной.
Так как же уберечь себя от таких случаев, чтобы не стать жертвой злоумышленников в попытке следовать новым технологиям? Конечно, в Интернете есть много советов, как не попасться на инфицированный QR-код. Например, не открывать каждую попадающуюся на глаза QR-ссылку. При этом их количество растет с каждым месяцем. Уже сейчас, стоя на остановке где-нибудь в центре города, можно насчитать до 10 таких ссылок - в рекламе, на асфальте, на билбордах и пр. Или нужно открывать ссылки только знакомых компаний, предполагая, очевидно, что они не могут быть зараженными. Однако в этих двух советах есть одно "но": использование QR-кода в рекламе предполагает своего рода игру, вовлеченность конечного пользователя. Это означает, что QR-ссылка должна привлекать пользователей, чтобы по ней перейти. Исходя из этого, злоумышленники могут испытывать на прочность сайты компаний, на которые ссылаются популярные QR-линки: представьте себе, что им удастся взломать страницу известной кинокомпании, которая разместила по городу биллборды с рекламой нового фильма со ссылкой на сайт. Исходя из этого, многим рекламодателям стоит задуматься - в силах ли они будут справиться с подобной ситуацией. Ведь при худшем сценарии компании грозит потеря репутации, а в худшем - разбирательство с правоохранительными органами.
Еще одна проблема многих QR-кодов - их практическая анонимность. В журналах и на билбордах то и дело попадаются рекламные блоки, где просто размещена подобная ссылка и описание про возможность выиграть приз, перейдя по ссылке. Что может скрываться за QR-кодом? Какие последствия перехода могут быть? Кто несет ответственность за эти ссылки? Этот вопрос стоит решить уже в ближайшее время за счет сопровождения подобной рекламы подробным описанием, что произойдет при использовании QR-технологии - на какую страницу перейдет пользователь, какую ответственность несет рекламодатель за ссылки в рекламе. Понятно, что сами рекламодатели неохотно будут размещать эту информацию - она может быть сложной и занимать место. Следовательно, нужны поправки в Законе о рекламе, которые должны требовать от рекламодателя указывать не только сведения о продавце товара, но и данные о Web-ссылках во всех доступных формах (текстовых, визуальных и аудиовизуальных). Ведь, по сути, ссылка на Web-сайт компании - это возможность более детально ознакомиться с рекламной информацией, вне рамок физического рекламного материала. Но такие поправки можно инициировать, обратившись в Роспотребнадзор или ФАС с описанием приведенной проблемы, пока не стало слишком поздно.
Однако законодательные документы не решат вопросы безопасности - если злоумышленник хочет заразить устройство пользователя, он это сделает и при наличии запретительного акта. Требуются предметное регулирование и решение проблемы. Поскольку, как уже говорилось, технология генерации QR-кодов открыта для всех и можно "написать" свой собственный генератор, значит следить за созданием QR-ссылок практически некому. Пример всем известного линейного штрих-кода UPC (Universal Product Code), с помощью которого нам пробивают товары на кассах больших магазинов. Он выпускается только по запросу в организацию (в России - ЮНИСКАН), которая присваивает товару уникальный для каждой страны штрихкод. Соответственно контроль организации над кодами в большинстве случаев избавляет потребителей от ситуаций, когда штрихкод может быть подделан. Ведь он проходит неоднократную проверку (при изготовлении упаковки товара, поступлении товара в магазин и т.д.) до того, как товар попадет в руки покупателей. Подобная многоуровневая проверка требуется и QR-кодам, чтобы в телефоны пользователей они попадали заведомо с безопасными ссылками.
На данный момент такая проверка представляется возможной, если организации, кодирующие свои ссылки в QR-технологию, будут делать это у проверенных (а может даже, и сертифицированных) генераторов, в то время как они будут самостоятельно следить за "чистотой" созданных ими кодов. Генератор может быть поддержан каким-нибудь антивирусным вендором, способным организовать проверку по своим базам зловредных сайтов и объектов. Таким образом, риск создания изначально вредоносной ссылки резко сокращается, а конечный пользователь смартфона сможет почувствовать себя гораздо увереннее при сканировании QR-кодов. А если такая проверка будет вестись еще дополнительно и на самом устройстве - в программе-сканере, то это еще больше осложнит жизнь злоумышленникам. С другой стороны, производителям антивирусов нужно взять ситуацию в свои руки и выпускать свои QR-сканеры для смартфонов.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2012