TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Mohammed Abdelbasset Elnouby นักวิจัยด้านความมั่นคงปลอดภัยข้อมูลชาวอียิปต์จาก Seekurity Inc. ออกมาเปิดเผยถึงเทคนิคการทำ Session Hijacking สำหรับใช้แฮ็คข้อมูลบัญชีผู้ใช้จากการล็อกอินผ่านทาง QR Code โดยเรียกเทคนิคนี้ว่า QRLJacking (Quick Response Code Login Jacking)
หลายท่านน่าจะเคยเห็นวิธีการล็อกอินโดยใช้ QR Code บนแอพพลิเคชันชื่อดังหลายประเภท เช่น Line หรือ WhatsApp บน PC/Mac ซึ่งช่วยให้คุณสามารถลงทะเบียนเข้าใช้งานแอพพลิเคชันได้อย่างรวดเร็วโดยไม่จำเป็นต้องพึ่งพารหัสผ่าน แต่ใช้วิธีการแสดง QR Code บนหน้าจอ แล้วสแกนโค้ดดังกล่าวผ่านทางแอพพลิเคชันบนมือถือแทน วิธีการพิสูจน์ตัวตนรูปแบบนี้เรียกว่า SQRL หรือ Secure Quick Response Login
Mohammed ระบุว่า เทคนิค QRLJacking ช่วยให้เขาสามารถแฮ็ค SQRL ผ่านทางการหลอกให้เหยื่อสแกน QR Code ของตนแทน ซึ่งขั้นตอนการโจมตีเป็นดังนี้
- แฮ็คเกอร์เริ่ม QR Session ฝั่ง Client แล้วทำการคัดลอก Login QR Code ไปฝากไว้บนเว็บ Phishing
- ส่งหน้าเว็บ Phishing ที่มี QR Code ไปยังเหยื่อ
- หลอกล่อเหยื่อให้สแกน QR Code ผ่านทางแอพพลิเคชันบนมือถือ เช่น Line หรือ WhatsApp
- แอพพิลเคชันส่งข้อมูลการล็อกอินไปยังบริการของตนเพื่อดำเนินการพิสูจน์ตัวตน
- ผลลัพธ์คือ แฮ็คเกอร์ผู้ซึ่งเป็นเริ่ม QR Session ฝั่ง Client สามารถเข้าควบคุมบัญชีของเหยื่อได้ทันที
- แอพพลิเคชันเริ่มทำการแลกเปลี่ยนข้อมูลของเหยื่อกับ Brower Session ของแฮ็คเกอร์
วิดีโอสาธิตเทคนิค QRLJacking
ผลลัพธ์ของการโจมตีแบบ QRLJacking ช่วยให้แฮ็คเกอร์สามารถเข้าควบคุมบัญชีของเหยื่อที่ใช้การพิสูจน์ตัวตนผ่านทาง QR Code เพื่อเข้าถึงแอพพลิเคชันได้ ส่งผลให้แฮ็คเกอร์สามารถขโมยข้อมูลส่วนบุคคลอื่นๆ เช่น ตำแหน่ง GPS ของเหยื่อ หมายเลข IMEI และข้อมูลบน SIM Card ต่อได้
ผู้ที่สนใจสามารถอ่านรายละเอียดของเทคนิค QRLJacking ได้ผ่านทาง OWASP และ GitHub
ที่มา: http://thehackernews.com/2016/07/qrljacking-hacking-qr-code.html
