QR-code: il cavallo di Troia tascabile. Riflessioni su un vettore di attacco sottovalutato

Sandro Sana : 1 Maggio 2025 08:30

Negli ultimi anni, la nostra quotidianità è stata invasa da piccoli quadrati pixelati capaci di portarci in un lampo su siti web, attivare applicazioni, aprire contenuti multimediali o avviare pagamenti digitali. I QR-code, acronimo di “Quick Response”, sono diventati il ponte tra il mondo fisico e quello digitale. Tuttavia, questo ponte – spesso considerato innocuo – può trasformarsi in un cavallo di Troia perfettamente mimetizzato, se sfruttato con competenza da un attaccante.

Un messaggio divulgato di recente nel canale Telegram “Social Engineering – Делаем уникальные знания доступными” (tradotto: “Social Engineering – Rendiamo le conoscenze uniche accessibili”) ci offre un’interessante retrospettiva su casi storici e reali in cui proprio il QR-code è stato impiegato come vettore di attacco. Analizziamoli con spirito critico e rigore tecnico.

L’attacco alle Google Glass (2013): l’occhio digitale diventa un bersaglio

Nel maggio 2013, i ricercatori di Lookout Mobile Security scoprirono una vulnerabilità sorprendente: le Google Glass (all’epoca un prodotto innovativo in fase sperimentale) erano progettate per “osservare” automaticamente le immagini potenzialmente utili all’utente. Questa funzione, sfruttata attraverso un QR-code appositamente craftato, consentiva di prendere controllo remoto del dispositivo.

La vulnerabilità fu corretta da Google in poche settimane, ma resta un campanello d’allarme: anche le interfacce “non convenzionali”, come gli smartglass, possono diventare preda di exploit visivi. Se la patch non fosse arrivata in tempo, un attacco in-the-wild avrebbe potuto compromettere dati sensibili, audio, video e localizzazioni dell’utente — tutto a sua insaputa.

ZXing Barcode Scanner (2014): quando un’espressione regolare non basta

Il secondo caso riguarda ZXing Barcode Scanner, un’app open source molto diffusa tra il 2013 e il 2015. Questa applicazione, pur tentando di filtrare contenuti sospetti tramite regex, non discriminava efficacemente i contenuti URI malformati o pericolosi, lasciando passare exploit veicolati via JavaScript.

Un esempio riportato nel messaggio mostra come un codice del tipo:

javascript;alert(“You have won 1000 dollars! Just Click The Open Browser Button”);

venisse bloccato dal filtro. Tuttavia, con lievi modifiche sintattiche, il payload riusciva comunque a superare il controllo, venendo riconosciuto come URI “valido” e aprendo il browser con esecuzione implicita del codice.

Questo scenario rientra pienamente nella categoria dei code injection visuali, in cui l’utente è indotto ad attivare personalmente un codice malevolo, con un click che sembra innocuo ma innesca un comportamento pericoloso.

L’attacco USSD ai Samsung (2012): QR e factory reset in un solo colpo

Nel 2012, il ricercatore Ravishankar Borgaonkar dimostrò come un semplice QR-code potesse contenere un comando USSD nascosto, capace di eseguire un factory reset su alcuni dispositivi Samsung.

Il codice tel:*2767*3855#, se interpretato come un link telefonico, causava un reset totale del dispositivo, cancellando dati, configurazioni e applicazioni. A oggi, questo rappresenta uno dei più eclatanti esempi di come un codice apparentemente inerte possa contenere una bomba logica, sfruttando meccanismi legittimi del sistema operativo.

L’utente curioso: l’anello debole della catena

Infine, il messaggio chiude con un’osservazione tanto banale quanto cruciale: la vera vulnerabilità è l’essere umano. L’utente medio, di fronte a un QR-code sconosciuto, tende a scansionarlo per pura curiosità, dimenticando ogni principio basilare di sicurezza informatica. Studi citati nel testo confermano che, in ambienti controllati, la maggior parte dei soggetti ignari esegue la scansione senza porsi domande.

Questa dinamica rientra nel classico campo del social engineering visivo, dove l’attaccante non forza il sistema, ma manipola il comportamento dell’utente per ottenere un’esecuzione volontaria del codice.

Conclusioni: educazione digitale e threat modeling anche per i QR-code

I casi riportati nel canale Telegram non sono frutto di fantascienza o ipotesi teoriche. Sono incidenti reali, documentati, verificati e – in alcuni casi – ancora oggi possibili, seppur mitigati da patch successive.

Ci ricordano che ogni tecnologia, anche la più banale, può essere arma a doppio taglio, soprattutto quando coinvolge l’interazione tra mondo fisico e digitale.

E allora cosa possiamo fare?

1. Formare gli utenti a non scansionare QR-code da fonti sconosciute o non verificate.
2. Utilizzare app di lettura QR con sandboxing, logging e avvisi su contenuti potenzialmente pericolosi.
3. Integrare l’analisi dei QR-code nei processi di threat intelligence aziendale, soprattutto nei contesti BYOD.
4. Valutare il QR-code come vettore di attacco nel proprio threat model, specialmente in ambiti pubblici (es. aeroporti, eventi, marketing).

Il QR-code, oggi, è diventato uno strumento trasversale e pervasivo. E proprio per questo, va trattato come ogni altro componente della superficie di attacco: con attenzione, consapevolezza e competenze tecniche.

Sandro Sana
Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Lista degli articoli
Visita il sito web dell'autore