Компьютинг
November 24

Пантеон | QR-коды. Предельно токсичная среда

/ Европейский центр программирования им. Леонарда Эйлера, 2024.
/ Руслан Богатырев, 2024.

QR-коды мы видим едва ли не на каждом шагу. Для нас это стало столь же привычным и повседневным, как дорожные указатели и адресные таблички на домах.

Легко и удобно. Не надо ничего читать. Не надо ничего набирать. Просто навёл смартфон — дальше всё за тебя сделает автоматика.

Ну как нам устоять перед таким соблазном предельного удобства и технологического совершенства. Тем более, что нас буквально подталкивают к активному использованию QR-кодов. Подталкивают и солидные государственные структуры, и вполне респектабельные частные компании. И более чем безобидные музеи. И не менее безобидные кинотеатры, кафе и рестораны.

Всё бы ничего. Но наш смартфон с незапамятных времён стал источником повышенного риска. Предельно повышенного.

Общение с внешним миром мы всё больше передоверяем ему. Этому доброму джину. Именно там, в недрах симпатичного и домашнего электронного питомца, сконцентрированы ключевые данные. Данные о нас, о нашем поведении, о наших покупках, о наших контактах, о наших финансах…

Его Величество Смартфон благодаря тотальной цифровизации стал по сути составной частью нашего биологического мозга. Нашего мышления. Это и память, и сознание, и принятие решений.

Всё это делегировано нами. Сознательно и добровольно. Некоему внешнему устройству. Второму мозгу.

Беда в том, что мы крайне плохо осознаём всю степень рисков и угроз. А те компетентные люди и органы, которые в курсе, отнюдь не торопятся нас об этой опасности предупреждать.

Скажите, вы готовы полностью довериться первому встречному врачу? А на предмет операции под общим наркозом? А если ещё понадобится и трепанация черепа?

Подумаете? Посоветуетесь? Взвесите риски?

Но ведь QR-коды — это же прямой и бесконтрольный доступ к вашему второму мозгу. Прямой и бесконтрольный.

Чисто технически это выполненные в зашифрованной графической форме некие интернет-адреса и команды. Причём даже специалист визуально, невооружённым глазом, опасность обнаружить не в состоянии. Ничего вразумительного сказать не сможет. Ему сначала надо будет воспользоваться специальным анализатором QR-кода. Это уже сфера компетенции систем информационной безопасности, тех же антивирусных компаний.

А ведь начиналось как всё безобидно. Штрих-коды на товарах. Для упрощения продуктовой маркировки. Да, но их сканировали и сканируют устройства, не завязанные на наши персональные данные и на наш мозг. В этом вся пикантная разница. О которой стыдливо умалчивают.

Идея QR-кода (QR — Quick Response, «быстрый отклик») принадлежит японскому инженеру Масахиро Хара (Masahiro Hara). Он работал и продолжает поныне работать в филиале Toyota Group. В 1994 г. этого японца осенило: особый графический узор способен кодировать важную информацию о технических компонентах устройств в автомобильной промышленности. Ну, разумеется, не только это. Может кодировать любую текстовую информацию. Хоть и в ограниченном объёме. А дальше — дело техники и фантазии…

За минувшие три десятка лет QR-коды пустили свои метастазы повсюду. Мы знаем, что практически у любого инструмента, у любого лекарства есть порог применимости: побочные эффекты, противопоказания. Но в отношении технологий это правило постоянно игнорируют. Это касается буквально всего, включая и пресловутый искусственный интеллект. А ведь именно с рисков, с противопоказаний, с реальной цены вопроса, и надо начинать…

Увы… ИТ-индустрия во многом выведена из-под серьёзного внешнего контроля. Что такое БигФарма, полагаю, объяснять не надо. Так вот, ИТ-индустрия сегодня — это та же БигФарма, но во многом вообще бесконтрольная. Более того, имеющая колоссальное лобби на уровне сотен государств мира.

Недавнее исследование, проведённое собственным подразделением информационной безопасности (Talos) в Cisco, крупнейшей американской телекоммуникационной компании, показало, что спам-фильтры практически беспомощны против вредоносных QR-кодов. И хотя поток пока относительно слаб (QR-коды встречаются в одном из 500 писем), концентрация токсичности уже более чем приличная (около 60% содержат спам или вредоносную информацию).

Да-да, вездесущие QR-коды теперь лезут изо всех щелей, включая и электронную почту. Этот юный вид мошенничества получил милое название «квишинг» (quishing). Почти как вишенка на торте…

Проблема в том, что подмена QR-кодов может происходить и в виртуальном пространстве, и в реальном. Более того, благодаря тому, что блоки данных в QR-коде дополняются для устойчивости к помехам кодами Рида-Соломона (Reed–Solomon codes), которые позволяют восстановить до 30% утерянной информации, можно преднамеренно искажать QR-код. Художественно. Маскируя его под обычную картинку. У этого направления есть и название — QR Code Art.

Как нетрудно догадаться, для визуальной маскировки токсичного QR-кода можно воспользоваться и услугами нынешних ИИ-систем.

Затем вы сканируете симпатичную картинку смартфоном, а дальше… Ваш второй мозг легко перехватывается внешним контролем мошенников.

И какой же вывод? По возможности избегайте подобных угроз. Ровно так, как вы делаете в случае вашего здоровья…