Gefährliche Zeichen an der Wand

BLOG: Datentyp

Informatik, Daten und Privatsphäre
Datentyp

Strichcodes, wie wir sie auf Waren im Supermarkt, auf Buchdeckeln oder auf Eintrittskarten sehen, werden oft als Symbol der Schattenseite einer technisierten Gesellschaft angesehen: Alles wird zur Nummer degradiert, alles wird maschinenlesbar: Für Kulturpessimisten war der Strichcode schon immer sichtbares Zeichen einer Maschinenwelt, in der Menschen irgendwann einmal zu unerwünschten Fremdkörpern werden.

BarcodeAbb. 1: Strichcode

Schon oft hörte man den sarkastischen Hinweis, am besten sollte man jedem Menschen einen Strichcode auf die Stirn tätowieren, dann bräuchte man gar keinen maschinenlesbaren Personalausweis und keine Gesundheitskarte mehr. Experten für Datenschutz und Datensicherheit würden einen solchen Vorschlag aber in der Regel ablehnen: nicht nur, weil auch Fachleute die Menschwürde als hohes Gut schätzen. Nein, schon aus Sicherheitsgründen sollte man dies nicht tun! Denn ein Strichcode auf der Stirn wäre nicht fälschungssicher. Überschminken oder umtätowieren ist viel einfacher als die Fälschung einer chipbasierten Ausweiskarte.

Eine moderne Variante des Strichcodes setzt sich zunehmend durch: der QR-Code ist eine zweidimensionale Codierung von Zeichenketten, Webadressen oder auch einfachen Nummern, wie wir es vom Strichcode kennen. QR steht für „Quick Response“; der Code wurde in den 1990ern erfunden, um zugelieferte Autoteile im Produktionsprozess zu identifizieren. Ein QR-Code kann von einer Kamera rasch erfasst und eingelesen werden, wobei Drehungen, perspektivische Verzerrungen oder verrauschte Bildanteile durch eine clevere Codierung der Information ausgeglichen werden. QR-Codes eignen sich daher besonders gut, um Informationshäppchen fehlerfrei an Smartphones zu übertragen. Der Besitzer vertippt sich doch recht leicht bei der Eingabe von Adressen oder Zahlen. 

QR-CodeAbb. 2: QR-Code

QR-Codes sieht man heute buchstäblich an jeder Ecke: Auf Werbeplakaten sorgen sie für eine elektronische Verlinkung der abgebildeten Botschaft. Der Inhalt bleibt dem menschlichen Betrachter verborgen; wir sehen nur ein quadratisches scheinbares Rauschmuster mit drei kleinen Quadraten, die so auf vier Ecken verteilt sind, dass die freie Ecke für „unten rechts“ steht. Bei Strichcodes war es dem geübten Betrachter noch möglich, die codierte Information zu entnehmen; QR-Codes können nur noch von Maschinen gelesen werden.

Für schadenfrohe Kulturpessimisten, die sich über die immer zahlreicher auftretenden QR-Codes ärgern, kommt jetzt der Clou: QR-Codes können für Computer gefährlich sein! IT-Sicherheitsspezialisten sprechen von einem neuen „Angriffsvektor“. Computerprogramme enthalten Fehler, die für Angriffe auf Systeme genutzt werden. Das Einlesen und Verarbeiten eines QR-Codes wird durch Software gesteuert; falls diese auf eine unerwartete Eingabe fehlerhaft reagiert, kann es bereits um die Sicherheit des Systems geschehen sein. Für die Angreifer stellen daher QR-Codes eine neue Möglichkeit dar, Systeme oder handliche Geräte zu kompromittieren.

Graffiti Abb. 3: Graffiti (Bildautor: Harald Bischoff, Creative Commons-Lizenz Namensnennung 3.0 Unported)

Die Attacke kann dabei mit einem Filzstift erfolgen, was von Experten bereits als Angriffsmethode beschrieben wurde: Jemand übermalt einige weiße Pixel auf einem Poster, um den QR-Code so abzuändern, dass der darin enthaltene Link umgebogen wird. So könnte beispielsweise bösartige Software über ein als vertrauenswürdig eingestuftes aber präpariertes Plakat verbreitet werden. Nachdem wir den Filzstift im öffentlichen Raum schon erwähnt haben: Graffiti-Sprayer sprühen zukünftig vielleicht mithilfe einer Schablone QR-Codes statt eines Tags: So könnte man ihnen im sozialen Netzwerk folgen und von weiteren Orten ihres Schaffens erfahren. Die Kommentarfunktion wäre dann insbesondere für Hausbesitzer interessant.

Eine häufig in Software vorhandene Sicherheitslücke ist der Pufferüberlauf. Liest ein Programm Daten ein, die mehr Platz beanspruchen als der unvorsichtige Programmierer bereitgestellt hat, werden Speicherbereiche überschrieben, was bei geschicktem Vorgehen so ausgenutzt werden kann, dass eine fremde Software (z. B. eine Hintertür) auf dem System unbemerkt installiert wird. Über die QR-Codes erhalten Angreifer nun eine weitere Schnittstelle für Pufferüberläufe. Ein einziges Foto mit der Handykamera kann genügen – und der mit dem Bild eingefangene QR-Code, der bei bestimmten Voreinstellungen ohne weitere Interaktion ausgewertet wird, übernimmt die Kontrolle über das Smartphone. Dies ist (Stand: heute) noch eine theoretische Überlegung; bisher wurden dem Autor noch keine erfolgreichen Systemkompromittierungen über QR-Code-Pufferüberläufe bekannt. Aber es gibt Erfahrungswerte in der IT-Sicherheit: Alle neuen Angriffsvektoren werden ausgiebig getestet, und das nicht nur von Wissenschaftlern, die Sicherheitskonzepte für mobile Geräte erforschen, es gibt auch immer wieder Angreifer mit bösen Absichten, die neue Pfade beschreiten.

Auch Viren könnten sich über diesen Weg verbreiten. Wenn das befallene System Zugang zu einem Drucker hat, kann der QR-Code vervielfältigt werden, indem er in auszudruckende Seiten eingefügt wird. Das nächste Smartphone, das ein Foto von einer solchen Druckseite macht, wäre dann ein neuer Wirt. Gleichermaßen können Bildschirminhalte oder Informationstafeln befallen werden: Auch dafür gibt es bisher keine Beispiele, aber der Leser hat nun eine Vorstellung davon, welche kreativen Gedanken sich Fachleute machen. Hand aufs Herz: Wenn jemand einen QR-Code auf ein hohes Gebäude oder auf eine Wolke projiziert, würden Sie ihn dann nicht neugierig scannen? Nach dem Lesen dieses Beitrags vielleicht nicht mehr …

”The purpose of computing is insight, not numbers.” (Richard Hamming) Ulrich Greveler studierte in Gießen Mathematik und Informatik, arbeitete sechs Jahre in der Industrie im In- und Ausland, bevor er als Wissenschaftler an die Ruhr-Universität nach Bochum wechselte. Seit 2006 lehrt er Informatik mit dem Schwerpunkt IT-Sicherheit an der Fachhochschule Münster (bis 03/2012) und der Hochschule Rhein-Waal (seit 03/2012). Sein besonderes Interesse gilt datenschutzfördernden Technologien und dem Spannungsverhältnis zwischen Privatsphäre und digitaler Vernetzung.

6 Kommentare

  1. Gefahren von Verlinkung

    Verlinkungen sind nicht mehr oder minder gefährlich. Geklickt wird trotzdem… weil die Gefahr dann doch eher minimal ist, dass man auf etwas trifft, was durch die Sicherheitsmechanismen durch kommt.

    Was die Pufferüberläufe der Code-Scanner angeht: Das muss schon lausig programmierte Software sein, wenn es jemand schaffen sollte, diesen Angriff praktisch durchzuführen.

    Aber klar, dass die Sicherheitsspezialisten Alarm schlagen: Die wollen schließlich ihre Antivirus-Produkte auch auf den Mobiltelefonen verkaufen. Das geht natürlich nicht, wenn der Kunde gar keine Gefahren sieht.

  2. Chapeau!

    Ein ausgeprochen informativer und lesenswerter Beitrag, der die Blogkultur rechtfertigt und den man in den Printmedien bzw. deren Onlineausgaben nur sehr selten und wenn, dann nur als Gastbeitrag findet.

  3. Naja

    Der Beitrag ist ja sehr informativ, aber die letzten Sätze deute ich dann doch eher als Panikmache. Wer sagt denn, das man das, was in dem QR-Code als Anweisung aufgeführt ist, auch gleich ausführen muss? – Okay, das könne bei Handys oder Smartphones die Standardeinstellung sein, muss sie aber nicht. Man kann doch auch den Code scannen, und sich die enthaltenen Informationen erst mal im Klartext ansehen. Okay, kann sein, das der auch nicht viel hergibt, aber das weis man ja vorher nicht. Und Pufferüberläufe sollten bei der Entschlüsselung des Codes eigentlich nicht mehr auftreten, sofern da nicht gerade Anfänger am Werk waren.

  4. Sehr interessant

    Ich hatte eigentlich nie drüber nachgedacht, daß QR-Codes eine potentielle Schnittstelle zwischen meinem Mobiltelefon bzw. Computer und den “bad guys” ist. Aber irgendwie war das ja doch vorhersehbar. Überall wo man Information eingeben kann, kann ein Schurke kommen und sich diesen geöffneten Türspalt zunutze machen. Gut gesehen, lieber Uli

Schreibe einen Kommentar