Комментарии 41
НЛО прилетело и опубликовало эту надпись здесь
Возможно, злоумышленники поменяли коды после установки.
Скорее всего так и было, иначе в чем смысл атаки…
Вангую, что проявив немного креативности, QR-код «поменять» нужным образом можно с помощью черного маркера и полминутки времени (на «подгонку» почти совпадающего кода конечно побольше полминутки уйдет).
Кстати, интересная техническая задача: имея QR код сгенерировать новый, который будет включать старый + N дополнительных черных квадратов. При этом надо минимизировать значение N, чтобы это можно было сделать с маркером без трафарета.
Какое может быть минимальное N? Можно ли получить код с N = 1 за разумное время вычислений?
Какое может быть минимальное N? Можно ли получить код с N = 1 за разумное время вычислений?
Можно ли получить код с N = 1 за разумное время вычислений?Нельзя, т.к. избыточное кодирование гарантирует восстановление информации при некотором количестве одиночных мутаций.
А как вы думаете, какое минимальное N возможно?
Реальна ли в целом операция «подрисовать пару точек маркером» или код от этого защищен?
Реальна ли в целом операция «подрисовать пару точек маркером» или код от этого защищен?
Подрисовать реально, но пикселей придётся менять с десяток.
Примеря взят из работы Malicious PixelsUsing QR Codes as Attack Vector
Скрытый текст
Примеря взят из работы Malicious PixelsUsing QR Codes as Attack Vector
Скорее, полагаю, не проплатили хостинг и домен выставили на продажу, разместив там рекламу, вот и всё.
Хотя и приклеить наклейку на старый QR-код с новым кодом, конечно, нетрудно.
Хотя и приклеить наклейку на старый QR-код с новым кодом, конечно, нетрудно.
Эта атака существует столько, сколько существуют QR-коды, достаточно незаметно прилепить сверху наклейку…
НЛО прилетело и опубликовало эту надпись здесь
Если просто меняли код на табличке, то зачем их менять? Можно просто отмыть/отклеить изменения и все, а на новые потом также могут наклеить… Больше похоже на то, что эти не очень ответственные и умные люди не проплатили хостинг и лишились домена, который быстро прикупили предприимчивые товарищи и стали (не за даром думаю) выкладывать ссылочки на забавный контент. Тогда понятно зачем доски менять. Домен уже так просто не вернуть, дешевле и быстрее несколько десятков табличек переделать.
Не проплатили хостинг, а домен все еще ссылался на хостера, который само собой начал отдавать рекламу по запросам с такого домена.
Судя по всему, не оплатили там именно домен.
Наверное, дважды, т. к. по архивам Wayback Machine, до 2017 года там был связанный с ЮНЕСКО сайт, предоставляющий информацию по QR-кодам, потом год — WordPress Hello World.
В июне 2018 года домен был заново зарегистрирован, и теперь отдает рекламу определенного качества.
Наверное, дважды, т. к. по архивам Wayback Machine, до 2017 года там был связанный с ЮНЕСКО сайт, предоставляющий информацию по QR-кодам, потом год — WordPress Hello World.
В июне 2018 года домен был заново зарегистрирован, и теперь отдает рекламу определенного качества.
Или таблички в онлайне заказывали, а потом времени не было проверить и отдали вешать так.
Прочитал эту новость в схожей формулировке:
техническая атака хакеров, которые изменили выход на ненужный сайтуже на трех новостных ресурсах. Хорошо, что Хабр не просто очередной новостной ресурс, но, прежде всего, ИТ-сообщество и статьи тут соответствующего уровня. Спасибо за технические подробности, alizar, после прочтения этой статьи, всё стало понятно. Так держать!
Не продлеваешь домен @ Спираешь вину на хакеров
Крутые хакеры, еще на этапе размещения подменили http://vizitastra.ru/zelenaya-strela/ там фото QR кода
Позже сообщалось, что QR-коды были заблокированы
Сайт (полный адрес не проверялся) открывается. Конечно если QR код заклеить, закрасить… — тоже блокировка информации.
Так, судя по vizitastra.ru/zelenaya-strela, всё именно так и задумывалось:
Просто со временем остался только последний пункт.
Помимо текстовой информации и графического изображения объекта пользователь получит он-лайн доступ к заказу и аренде транспорта, бронированию гостиниц, список ресторанов, места проведения досуга.
Просто со временем остался только последний пункт.
Однако в прошлом году...
А они там в министерстве культуры и туризма неторопливые, судя по всему.
А есть тег facepalm или фэйспалм?
Они здесь точно кстати
Они здесь точно кстати
А где Роскомнадзор, а?
Занят он, телеграм блочит.
Больше интересно, где РосНИИРОС или кто там сейчас занимается стандартизацией доменов под госнужды? Сварганили бы уже единое пространство для регистрации под окологосударственные ресурсы без необходимости следить-продлевать и возможности перерегистрировать на левое лицо, а то сейчас каждое второе ведомство регает себе вторым уровнем в .ru.
хакеровкакой странный эвфемизм для эрудированных хулиганов-мошенников с фантазией
Проблема QR-кодов в их совершенной нечитаемости человеком. Как по мне, так их считывать просто опасно, ибо с их помощью открывается такое огромное поле для манипуляций и фишинга, что прямо оторопь берет! И всего-то надо как-то раз ночью переклеить наклейку. :)
Что бы они там не делали, QR-код можно легко переклеить. Поэтому тут несколько иное решение нужно. Я тут вижу несколько вариантов:
- Можно поискать или самим разработать разновидность QR-кода, которую можно снабдить автоматически проверяемым сертификатом, что бы при сканировании человеку показывали автора QR-кода.
- Можно вообще без QR-кодов сделать, а выпустить приложеньку, которая будет показывать справку в соответствии, например, с GPS/ГЛОНАСС координатами.
- Можно раздавать WiFi с рекламными вставками около таких зданий, только вместо рекламы показывать историческую справку. Захотел человек почитать о здании? Подключается к WiFi и читает.
- NFC предлагать не буду, ибо далеко не у всех ещё телефонов есть NFC, в то время, как WiFi и камеры есть почти у всех.
Хакеры, хакеры… Это называется ИТ в бюджете, бессмысленный и беспощадный. )
Как показывает личный опыт, обычно в бюджете не заморачиваются на права на домен (по незнанию, в основном), а т.к. Исполнителей получают по самому низу рынка (гос.закупки или до 100 т.р., сами понимаете), то ребята не заморачиваются с регистрацией домена на Заказчика (в большинстве случаев — в корыстных целях), и потом пытаются с Заказчика денежку получить «на техническое обслуживание».
А тут видимо Заказчик просто забыл, что у него там какой-то домен, а Исполнитель не сильно настаивал «на техническом обслуживании».
Как показывает личный опыт, обычно в бюджете не заморачиваются на права на домен (по незнанию, в основном), а т.к. Исполнителей получают по самому низу рынка (гос.закупки или до 100 т.р., сами понимаете), то ребята не заморачиваются с регистрацией домена на Заказчика (в большинстве случаев — в корыстных целях), и потом пытаются с Заказчика денежку получить «на техническое обслуживание».
А тут видимо Заказчик просто забыл, что у него там какой-то домен, а Исполнитель не сильно настаивал «на техническом обслуживании».
Тогда исполнителю проще изначально настроить переход по ссылке через редирект на своем сайте. Заказчик проверяет — работает. После получения оплаты меняет редирект на выгодный и получает еще небольшую прибыль.
У нас в универе был еще неудачный опыт с QR кодами, коды вели на поисковик + название универа. Задумка была, чтобы получать свежие новости про университет, достижения, мероприятия. Сначала работало всё, но потом в ТОП выдачи поисковиками вышел черный пиар, типа «коррупция, взяточничество, беспредел», таблички быстро сняли.
У нас в универе был еще неудачный опыт с QR кодами, коды вели на поисковик + название универа. Задумка была, чтобы получать свежие новости про университет, достижения, мероприятия. Сначала работало всё, но потом в ТОП выдачи поисковиками вышел черный пиар, типа «коррупция, взяточничество, беспредел», таблички быстро сняли.
Зачем вообще QR на этих табличках? Они всю эстетику портят, занимая добрую половину площади этой таблички! Эти QR пихают куда ни лень где надо и где не надо. Не понимаю этой моды.
Интересно, как можно оформить подписку просто перейдя по ссылке? Неужели смартфон по так легко отправляет свой номер или еще какие либо личные данные? Кому счета присылать откуда злоумышленник узнает?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Астрахань избавилась от порнографических QR-кодов