Mohammed Abdelbasset Elnouby นักวิจัยด้านความมั่นคงปลอดภัยข้อมูลชาวอียิปต์จาก Seekurity Inc. ออกมาเปิดเผยถึงเทคนิคการทำ Session Hijacking สำหรับใช้แฮ็คข้อมูลบัญชีผู้ใช้จากการล็อกอินผ่านทาง QR Code โดยเรียกเทคนิคนี้ว่า QRLJacking (Quick Response Code Login Jacking)
หลายท่านน่าจะเคยเห็นวิธีการล็อกอินโดยใช้ QR Code บนแอพพลิเคชันชื่อดังหลายประเภท เช่น Line หรือ WhatsApp บน PC/Mac ซึ่งช่วยให้คุณสามารถลงทะเบียนเข้าใช้งานแอพพลิเคชันได้อย่างรวดเร็วโดยไม่ จำเป็นต้องพึ่งพารหัสผ่าน แต่ใช้วิธีการแสดง QR Code บนหน้าจอ แล้วสแกนโค้ดดังกล่าวผ่านทางแอพพลิเคชันบนมือถือแทน วิธีการพิสูจน์ตัวตนรูปแบบนี้เรียกว่า SQRL หรือ Secure Quick Response Login
Mohammed ระบุว่า เทคนิค QRLJacking ช่วยให้เขาสามารถแฮ็ค SQRL ผ่านทางการหลอกให้เหยื่อสแกน QR Code ของตนแทน ซึ่งขั้นตอนการโจมตีเป็นดังนี้
- แฮ็คเกอร์เริ่ม QR Session ฝั่ง Client แล้วทำการคัดลอก Login QR Code ไปฝากไว้บนเว็บ Phishing
- ส่งหน้าเว็บ Phishing ที่มี QR Code ไปยังเหยื่อ
- หลอกล่อเหยื่อให้สแกน QR Code ผ่านทางแอพพลิเคชันบนมือถือ เช่น Line หรือ WhatsApp
- แอพพิลเคชันส่งข้อมูลการล็อกอินไปยังบริการของตนเพื่อดำเนินการพิสูจน์ตัวตน
- ผลลัพธ์คือ แฮ็คเกอร์ผู้ซึ่งเป็นเริ่ม QR Session ฝั่ง Client สามารถเข้าควบคุมบัญชีของเหยื่อได้ทันที
- แอพพลิเคชันเริ่มทำการแลกเปลี่ยนข้อมูลของเหยื่อกับ Brower Session ของแฮ็คเกอร์
ผลลัพธ์ของการโจมตีแบบ QRLJacking ช่วยให้แฮ็คเกอร์สามารถเข้าควบคุมบัญชีของเหยื่อที่ใช้การพิสูจน์ตัวตนผ่าน ทาง QR Code เพื่อเข้าถึงแอพพลิเคชันได้ ส่งผลให้แฮ็คเกอร์สามารถขโมยข้อมูลส่วนบุคคลอื่นๆ เช่น ตำแหน่ง GPS ของเหยื่อ หมายเลข IMEI และข้อมูลบน SIM Card ต่อได้
ผู้ที่สนใจสามารถอ่านรายละเอียดของเทคนิค QRLJacking ได้ผ่านทาง OWASP และ GitHub
ที่มา: http://thehackernews.com/2016/07/qrljacking-hacking-qr-code.html
ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ไทยเซิร์ต)
สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน)
