Índice de tabela de tabela Qual é a solução? Qual é o pipeline de tecnologia? Por que essa abordagem importa?
O golpe digital mais bem -sucedido é aquele que está ligado à conveniência. Os códigos QR, que são usados para tudo, desde compartilhar contatos até fazer pagamentos, são um vetor ideal. Na Índia, que administra o maior sistema de pagamento digital do mundo, os golpes de código QR se tornaram um incômodo regular.
Eu ouço regularmente dos proprietários de lojas e motoristas de táxi sobre como eles foram enganados usando um código ou aplicativo QR falso, e similar é a história dos compradores on -line. Os golpes QR de estacionamento também são galopantes nos EUA e no Reino Unido, mas roubar alguns dólares não é o único risco.
É o roubo de dados sensíveis, incluindo detalhes financeiros, que até colocou os gigantes bancários em alerta. “Se você examinou o código QR e inseriu suas credenciais, como seu nome de usuário e senha, em um site, altere sua senha imediatamente”, disse a Comissão Federal de Comércio Federal dos EUA em uma nota de alerta há apenas algumas semanas.
A Agência de Segurança Nacional suíça também emitiu um aviso sobre os maus atores que enviam códigos QR físicos por correio para as portas para roubar senhas, um assalto comumente conhecido como Quishing, abreviação de QR Phishing. Obviamente, não podemos arrastar a pilha de tecnologia da QR sobre esses riscos, exceto para aumentar a conscientização, mas finalmente podemos ter uma solução dos especialistas da Universidade de Rochester.
Qual é a solução? Em vez de pontos em bloco, os códigos SDMQR usam elipses. Nadeem Sarwar / Trends Digital
A tecnologia em questão é um código QR (SDMQR) modulado por auto-autenticação. Ele interrompe o potencial de golpes antes que os usuários sejam levados para um site falso ou repositório da Web fraudulento, sinalizando o risco assim que o código for digitalizado. Mas antes de entrarmos nos detalhes técnicos, deixe -me dividir as maiores vantagens desse caminho seguro para a tecnologia de código QR:
É auto-autenticação, o que significa que o código QR já possui a assinatura digital verificada da entidade por trás dele, que é verificada toda vez que você a digitaliza no seu telefone. Além de levar usuários para sites, eles também podem ser usados para pagamentos e codificar informações seguras, entre outros cenários relacionados. A verificação do código QR acontece no dispositivo. Você não precisa de uma conexão com a Internet para verificar se é legítima ou fraudulenta. Não requer nenhum aplicativo ou software especializado para atualizar para aplicativos de digitalização de código QR existentes. O sistema não cria nenhum atraso operacional indesejado ou latência. Esses códigos QR seguros podem ser personalizados para atender aos requisitos de design, sem dificultar suas salvaguardas. Ele não precisa de uma câmera de smartphone de alta resolução para funcionar. O do seu bolso se sairá bem em digitalizar códigos SDMQR. Esses códigos QR também podem ter cores, para que as marcas possam colocá -las personalizadas para um melhor reconhecimento de identidade. Máquinas existentes que lê os códigos QR também podem ler os códigos SDMQR, com um sistema de aviso a reboque.
A melhor parte dessa abordagem é que um usuário médio não terá que passar por nenhum aro técnico para proteger seu interesse. Para empresas que dependem de códigos QR e desejam proteger seus negócios, elas simplesmente precisam registrar o URL do site oficial e incorporar sua assinatura no código.
Os códigos SDQMR parecem diferentes dos códigos QR tradicionais. Em vez da impressão em bloco de bloqueio em estilo de pixels, eles fazem uso de elipses. A equipe por trás da pilha de tecnologia entrou com uma patente e já garantiu uma concessão da National Science Foundation I-Corps para explorar a substituição dos códigos de barras tradicionais por códigos SDMQR.
Dando um passo adiante, a equipe também está explorando se o uso de cores pode tornar esses códigos mais versáteis. Com a versatilidade, eles significam usando o mesmo código QR para orientar os usuários em até três direções diferentes ou destinos da Web.
Qual é o pipeline de tecnologia? Universidade de Rochester / IEEE Segurança e privacidade
“Os códigos SDMQR oferecem proteção proativa do front-end contra o Quishing antes mesmo de o link ser acessado”, diz o trabalho de pesquisa publicado no IEEE Security & Privacy Journal. Como mencionado acima, estamos simplesmente falando de um retrofit, e não de uma estrutura que transformaria todo o ecossistema QR de cabeça para baixo.
Todo o processo depende de dois componentes. Uma mensagem primária (como o URL de uma empresa) e uma assinatura criptográfica correspondente dessa mensagem. Essa assinatura criptográfica é gerada e de propriedade de uma empresa na posse de uma chave privada digital. Um codificador DMQR incorpora as mensagens primárias e secundárias no código SDMQR.
Se você olhar para o código, notará padrões elípticos em preto e branco. De acordo com os pesquisadores, os padrões de variação ocultam a mensagem primária, enquanto os dados de orientação carregam a mensagem secundária.
Sinalizando um destino de código QR arriscado. Universidade de Rochester / IEEE Segurança e privacidade
Depois que o código é digitalizado em um telefone, um decodificador DMQR divide as mensagens primárias e secundárias para verificação. Nesse estágio, a chave pública do negócio (que criou o código) executa a verificação algorítmica para verificar se a mensagem secundária criptográfica corresponde ao conteúdo da mensagem primária não criptografada.
Pense nisso como um aperto de mão secreto de dois estágios entre agentes de espionagem.
O maior desafio não é a pilha de tecnologia, mas criando um sistema centralizado, onde todas as empresas podem se unir e executar o registro necessário para criar códigos SDMQR exclusivos. A idéia é criar uma chave pública para essas entidades legítimas, que também é a única coisa que um leitor de código SDMQR exige.
É aqui que os fabricantes de sistemas operacionais de smartphone – também conhecidos como Google e Apple – podem ajudar a criar um futuro mais seguro. Sua participação como signatários centrais significaria que um smartphone ou tablet exigiria apenas suas duas chaves públicas para autenticar rapidamente os códigos SDMQR.
Aprovação de um URL legítimo após uma verificação de código SDMQR. Universidade de Rochester / IEEE Segurança e privacidade
Como eles oferecem estruturas de digitalização de código QR embutidas para iOS e Android, usá-los como signatários centrais é o melhor caminho a seguir. Em um nível técnico, sua participação facilitaria drasticamente o processo de verificação, pois os leitores de código SDMQR precisariam armazenar apenas duas chaves públicas e fazer o trabalho.
Definitivamente, há algum precedente para isso. O Google permite que as empresas se inscrevam para obter um crachá e um ícone verificados no Gmail, para que os usuários não caam em e -mails de paródia tentando passar como uma mensagem legítima.
Por que essa abordagem importa?
Poucas propostas técnicas saudáveis apareceram nos últimos anos para corrigir o problema dos golpes de código QR, mas todos chegaram com sua parte justa de limitações. O sistema SDMQR resolve alguns obstáculos fundamentais importantes para facilitar a adoção sem aborrecimentos técnicos.
É preciso uma abordagem transparente para a auto-autenticação e não requer atualização de software para os aplicativos de leitor de código QR instalados no telefone de uma pessoa. Eles funcionarão bem com o QR regular e os códigos SDMQR mais seguros.
Caso contrário, os desenvolvedores ou criadores de OS da TASKing para implantar uma atualização sincronizada em todo o ecossistema não seriam apenas um desafio massivo, mas também levaria seu próprio tempo. Melhorar ainda mais a conveniência dos adotantes é o sistema signatário central único, que requer apenas uma chave para a verificação. E a melhor parte é que os usuários de smartphones nem precisam de uma conexão com a Internet para que os protocolos de verificação entrem em ação.
Os códigos SDMQR funcionarão bem com uma pitada de personalização estilística. Nadeem Sarwar / Trends Digital
Esforços anteriores para criar sistemas seguros de código QR depositam sua fé nas chaves criptográficas para os geradores de código QR, a fim de autenticar a identidade. Algumas outras idéias envolveram pares de chaves públicos individuais, o que significa que o dispositivo móvel de um usuário deveria transportar (ou salvar localmente) as chaves públicas para todas as partes que se inscreveram na criação de códigos seguros para autenticação e verificação de identidade.
“Usando nosso protocolo proposto, os dispositivos móveis podem determinar se as informações são consideradas autênticas pelo signatário, imediatamente no próprio dispositivo móvel”, diz a equipe no documento de pesquisa.
Outra vantagem é que a tecnologia inerente à modulação dupla também pode ser aplicada aos códigos de barras, o que significa que os códigos uniformes usados para passes de embarque aéreo e pcackage de correio podem aproveitar a estrutura.
O maior beneficiário dos códigos SDMQR seria instituições bancárias. Os pesquisadores argumentam que sua implantação nos sistemas de pagamento de estacionamento pode proteger com segurança os usuários de serem direcionados por ataques de phishing baseados em QR e perdas financeiras.
O último aspecto também se aplica a todos os cenários em que as pessoas costumam encontrar códigos QR em locais públicos. Isso inclui acesso Wi-Fi, abrindo o menu de um restaurante e retransmitir um local comercial, entre outros. O Wi-Fi Jacking é uma ameaça bem conhecida que rapidamente espirra no caos total para um usuário médio; portanto, qualquer solução para conectar essa vulnerabilidade deve encontrar adoção em massa.
A bola está agora no quintal do Google e da Apple. Eles já fornecem o molho de software no nível do sistema operacional para decodificar códigos QR e de barras. Tudo o que eles precisam fazer é examinar e implementar suporte para a nova estrutura SDMQR e proteger os interesses dos usuários de smartphones em todo o mundo.
