Комментарии 41
НЛО прилетело и опубликовало эту надпись здесь
Возможно, злоумышленники поменяли коды после установки.
+2
Скорее всего так и было, иначе в чем смысл атаки…
0
Вангую, что проявив немного креативности, QR-код «поменять» нужным образом можно с помощью черного маркера и полминутки времени (на «подгонку» почти совпадающего кода конечно побольше полминутки уйдет).
+3
Кстати, интересная техническая задача: имея QR код сгенерировать новый, который будет включать старый + N дополнительных черных квадратов. При этом надо минимизировать значение N, чтобы это можно было сделать с маркером без трафарета.
Какое может быть минимальное N? Можно ли получить код с N = 1 за разумное время вычислений?
Какое может быть минимальное N? Можно ли получить код с N = 1 за разумное время вычислений?
+2
Можно ли получить код с N = 1 за разумное время вычислений?Нельзя, т.к. избыточное кодирование гарантирует восстановление информации при некотором количестве одиночных мутаций.
+1
А как вы думаете, какое минимальное N возможно?
Реальна ли в целом операция «подрисовать пару точек маркером» или код от этого защищен?
Реальна ли в целом операция «подрисовать пару точек маркером» или код от этого защищен?
0
Подрисовать реально, но пикселей придётся менять с десяток.
Примеря взят из работы Malicious PixelsUsing QR Codes as Attack Vector
Скрытый текст
Примеря взят из работы Malicious PixelsUsing QR Codes as Attack Vector
+1
Скорее, полагаю, не проплатили хостинг и домен выставили на продажу, разместив там рекламу, вот и всё.
Хотя и приклеить наклейку на старый QR-код с новым кодом, конечно, нетрудно.
Хотя и приклеить наклейку на старый QR-код с новым кодом, конечно, нетрудно.
+23
Эта атака существует столько, сколько существуют QR-коды, достаточно незаметно прилепить сверху наклейку…
+3
НЛО прилетело и опубликовало эту надпись здесь
А вот интересно, можно ли закрасить QR-код так, чтобы содержимое поменялось и он остался валидным? Т.е. закрашиваем точечно, меняем биты…
0
Если просто меняли код на табличке, то зачем их менять? Можно просто отмыть/отклеить изменения и все, а на новые потом также могут наклеить… Больше похоже на то, что эти не очень ответственные и умные люди не проплатили хостинг и лишились домена, который быстро прикупили предприимчивые товарищи и стали (не за даром думаю) выкладывать ссылочки на забавный контент. Тогда понятно зачем доски менять. Домен уже так просто не вернуть, дешевле и быстрее несколько десятков табличек переделать.
+5
Не проплатили хостинг, а домен все еще ссылался на хостера, который само собой начал отдавать рекламу по запросам с такого домена.
+6
Судя по всему, не оплатили там именно домен.
Наверное, дважды, т. к. по архивам Wayback Machine, до 2017 года там был связанный с ЮНЕСКО сайт, предоставляющий информацию по QR-кодам, потом год — WordPress Hello World.
В июне 2018 года домен был заново зарегистрирован, и теперь отдает рекламу определенного качества.
Наверное, дважды, т. к. по архивам Wayback Machine, до 2017 года там был связанный с ЮНЕСКО сайт, предоставляющий информацию по QR-кодам, потом год — WordPress Hello World.
В июне 2018 года домен был заново зарегистрирован, и теперь отдает рекламу определенного качества.
+2
Или таблички в онлайне заказывали, а потом времени не было проверить и отдали вешать так.
0
Прочитал эту новость в схожей формулировке:
техническая атака хакеров, которые изменили выход на ненужный сайтуже на трех новостных ресурсах. Хорошо, что Хабр не просто очередной новостной ресурс, но, прежде всего, ИТ-сообщество и статьи тут соответствующего уровня. Спасибо за технические подробности, alizar, после прочтения этой статьи, всё стало понятно. Так держать!
+26
Не продлеваешь домен @ Спираешь вину на хакеров
+9
Крутые хакеры, еще на этапе размещения подменили http://vizitastra.ru/zelenaya-strela/ там фото QR кода
Позже сообщалось, что QR-коды были заблокированы
Сайт (полный адрес не проверялся) открывается. Конечно если QR код заклеить, закрасить… — тоже блокировка информации.
+1
Так, судя по vizitastra.ru/zelenaya-strela, всё именно так и задумывалось:
Просто со временем остался только последний пункт.
Помимо текстовой информации и графического изображения объекта пользователь получит он-лайн доступ к заказу и аренде транспорта, бронированию гостиниц, список ресторанов, места проведения досуга.
Просто со временем остался только последний пункт.
+2
Однако в прошлом году...
А они там в министерстве культуры и туризма неторопливые, судя по всему.
+6
А есть тег facepalm или фэйспалм?
Они здесь точно кстати
Они здесь точно кстати
0
А где Роскомнадзор, а?
+1
Занят он, телеграм блочит.
+5
Больше интересно, где РосНИИРОС или кто там сейчас занимается стандартизацией доменов под госнужды? Сварганили бы уже единое пространство для регистрации под окологосударственные ресурсы без необходимости следить-продлевать и возможности перерегистрировать на левое лицо, а то сейчас каждое второе ведомство регает себе вторым уровнем в .ru.
+2
хакеровкакой странный эвфемизм для эрудированных хулиганов-мошенников с фантазией
0
Проблема QR-кодов в их совершенной нечитаемости человеком. Как по мне, так их считывать просто опасно, ибо с их помощью открывается такое огромное поле для манипуляций и фишинга, что прямо оторопь берет! И всего-то надо как-то раз ночью переклеить наклейку. :)
+2
Что бы они там не делали, QR-код можно легко переклеить. Поэтому тут несколько иное решение нужно. Я тут вижу несколько вариантов:
- Можно поискать или самим разработать разновидность QR-кода, которую можно снабдить автоматически проверяемым сертификатом, что бы при сканировании человеку показывали автора QR-кода.
- Можно вообще без QR-кодов сделать, а выпустить приложеньку, которая будет показывать справку в соответствии, например, с GPS/ГЛОНАСС координатами.
- Можно раздавать WiFi с рекламными вставками около таких зданий, только вместо рекламы показывать историческую справку. Захотел человек почитать о здании? Подключается к WiFi и читает.
- NFC предлагать не буду, ибо далеко не у всех ещё телефонов есть NFC, в то время, как WiFi и камеры есть почти у всех.
0
Хакеры, хакеры… Это называется ИТ в бюджете, бессмысленный и беспощадный. )
Как показывает личный опыт, обычно в бюджете не заморачиваются на права на домен (по незнанию, в основном), а т.к. Исполнителей получают по самому низу рынка (гос.закупки или до 100 т.р., сами понимаете), то ребята не заморачиваются с регистрацией домена на Заказчика (в большинстве случаев — в корыстных целях), и потом пытаются с Заказчика денежку получить «на техническое обслуживание».
А тут видимо Заказчик просто забыл, что у него там какой-то домен, а Исполнитель не сильно настаивал «на техническом обслуживании».
Как показывает личный опыт, обычно в бюджете не заморачиваются на права на домен (по незнанию, в основном), а т.к. Исполнителей получают по самому низу рынка (гос.закупки или до 100 т.р., сами понимаете), то ребята не заморачиваются с регистрацией домена на Заказчика (в большинстве случаев — в корыстных целях), и потом пытаются с Заказчика денежку получить «на техническое обслуживание».
А тут видимо Заказчик просто забыл, что у него там какой-то домен, а Исполнитель не сильно настаивал «на техническом обслуживании».
0
Тогда исполнителю проще изначально настроить переход по ссылке через редирект на своем сайте. Заказчик проверяет — работает. После получения оплаты меняет редирект на выгодный и получает еще небольшую прибыль.
У нас в универе был еще неудачный опыт с QR кодами, коды вели на поисковик + название универа. Задумка была, чтобы получать свежие новости про университет, достижения, мероприятия. Сначала работало всё, но потом в ТОП выдачи поисковиками вышел черный пиар, типа «коррупция, взяточничество, беспредел», таблички быстро сняли.
У нас в универе был еще неудачный опыт с QR кодами, коды вели на поисковик + название универа. Задумка была, чтобы получать свежие новости про университет, достижения, мероприятия. Сначала работало всё, но потом в ТОП выдачи поисковиками вышел черный пиар, типа «коррупция, взяточничество, беспредел», таблички быстро сняли.
0
После получения оплаты меняет редирект на выгодный и получает еще небольшую прибыль.Это уже мошенничество и подсудное дело.
0
Зачем вообще QR на этих табличках? Они всю эстетику портят, занимая добрую половину площади этой таблички! Эти QR пихают куда ни лень где надо и где не надо. Не понимаю этой моды.
0
Интересно, как можно оформить подписку просто перейдя по ссылке? Неужели смартфон по так легко отправляет свой номер или еще какие либо личные данные? Кому счета присылать откуда злоумышленник узнает?
0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Астрахань избавилась от порнографических QR-кодов