QR 二维条形码攻击事件分析

摘要： 对QR code attack安全事件分析。

Abstract： Security incident of QR code attack was analyzed in this paper.

关键词： QR—code；CVE—2010—1807；The Jester

Key words： QR—code；CVE—2010—1807；The Jester

中图分类号：TP39 文献标识码：A 文章编号：1006—4311（2012）27—0210—02

0 引言

QR code attack是当用户使用智能手机扫描特定QR 条形码（Quick Response code）时，将手机浏览器定向到恶意网站的攻击方式。至于定向到恶意网站的后果完全依具体漏洞等而定。在最初实施QR code attack中，攻击者The Jester（th3j35t3r）[th3j35t3r是The Jester的leetspeak拼写形式]所利用的是WebKit漏洞CVE—2010—1807[1]。

这个安全事件有2个值得关注的问题：

①扫描QR条形码如何导致手机浏览器重定向到特定网站？

②通过CVE—2010—1807的利用代码如何获得手机中联系人等信息？

1 扫描QR 条形码将手机浏览器重定向到特定网站

1.1 QR 条形码概述 条形码可以分为1维（Linear barcode）和2维（Matrix barcode）两种。如图：

两者的区别在于：前者用于对事物标识；后者用于对事物描述。

2维条形码包括多种形式，例如：PDF417，更多的形式可参考Matrix（2D）barcodes[3]。

QR 条形码是2维条形码的一种，其形式如图2。

QR 条形码主要具有以下特点：

图中在3个角上（左上，左下，右上）有个像汉字“回”的图案，用以辅助识别软件定位的标识。

正如Quick response其名，QR barcode区别其它2维条形码的特征在于其识别速度快。

QR 条形码可以存储较多数据（注：各版本存在差异[4]），例如：URL等。

1.2 QR条形码基本结构

上图legend中的“Fixed Patterns”包括3部分内容：

①Finder patterns（A1，A2，A3）：用于定位QRcode；

②Timing patterns（B1，B2）：用于确定symbol坐标；

③Alignment pattern（C）：用于校正QRcode图形倾斜。

上图legend中的“Format Info”有2个完全一致的15bits序列（0..14）：

包括5bits数据（2bits Error Correction Level + 3 bits Mask pattern）和10bits 错误码修正。这10bits错误码修正的计算方法可参考ISO/IEC 18004：2006[6]中Annex C部分。

注：上图不包括QRcode version7以后增加的version information。

1.3 QR 条形码编码和解码

1.3.1 使用在线服务

QR 条形码编码： ，但需要做修改，可使用IDA Pro进行远程调试。

2.3 访问恶意网站后TCP反向链接 实验中使用Android 2.1 emulator，当该系统访问页面demo.html后进行TCP反向链接。

2.4 Twitter用户信息 TCP反向链接得到权限较低（uid=10000），需进一步提权以获得手机中联系人等信息。