Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

QR-code: il cavallo di Troia tascabile. Riflessioni su un vettore di attacco sottovalutato

Sandro Sana : 1 Maggio 2025 08:30

Negli ultimi anni, la nostra quotidianità è stata invasa da piccoli quadrati pixelati capaci di portarci in un lampo su siti web, attivare applicazioni, aprire contenuti multimediali o avviare pagamenti digitali. I QR-code, acronimo di “Quick Response”, sono diventati il ponte tra il mondo fisico e quello digitale. Tuttavia, questo ponte – spesso considerato innocuo – può trasformarsi in un cavallo di Troia perfettamente mimetizzato, se sfruttato con competenza da un attaccante.

Un messaggio divulgato di recente nel canale Telegram “Social Engineering – Делаем уникальные знания доступными” (tradotto: “Social Engineering – Rendiamo le conoscenze uniche accessibili”) ci offre un’interessante retrospettiva su casi storici e reali in cui proprio il QR-code è stato impiegato come vettore di attacco. Analizziamoli con spirito critico e rigore tecnico.

L’attacco alle Google Glass (2013): l’occhio digitale diventa un bersaglio

Nel maggio 2013, i ricercatori di Lookout Mobile Security scoprirono una vulnerabilità sorprendente: le Google Glass (all’epoca un prodotto innovativo in fase sperimentale) erano progettate per “osservare” automaticamente le immagini potenzialmente utili all’utente. Questa funzione, sfruttata attraverso un QR-code appositamente craftato, consentiva di prendere controllo remoto del dispositivo.

Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi (o persone di qualsiasi età) alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)

  • Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    La vulnerabilità fu corretta da Google in poche settimane, ma resta un campanello d’allarme: anche le interfacce “non convenzionali”, come gli smartglass, possono diventare preda di exploit visivi. Se la patch non fosse arrivata in tempo, un attacco in-the-wild avrebbe potuto compromettere dati sensibili, audio, video e localizzazioni dell’utente — tutto a sua insaputa.

    ZXing Barcode Scanner (2014): quando un’espressione regolare non basta

    Il secondo caso riguarda ZXing Barcode Scanner, un’app open source molto diffusa tra il 2013 e il 2015. Questa applicazione, pur tentando di filtrare contenuti sospetti tramite regex, non discriminava efficacemente i contenuti URI malformati o pericolosi, lasciando passare exploit veicolati via JavaScript.

    Un esempio riportato nel messaggio mostra come un codice del tipo:

    javascript;alert(“You have won 1000 dollars! Just Click The Open Browser Button”);

    venisse bloccato dal filtro. Tuttavia, con lievi modifiche sintattiche, il payload riusciva comunque a superare il controllo, venendo riconosciuto come URI “valido” e aprendo il browser con esecuzione implicita del codice.

    Questo scenario rientra pienamente nella categoria dei code injection visuali, in cui l’utente è indotto ad attivare personalmente un codice malevolo, con un click che sembra innocuo ma innesca un comportamento pericoloso.

    L’attacco USSD ai Samsung (2012): QR e factory reset in un solo colpo

    Nel 2012, il ricercatore Ravishankar Borgaonkar dimostrò come un semplice QR-code potesse contenere un comando USSD nascosto, capace di eseguire un factory reset su alcuni dispositivi Samsung.

    Il codice tel:*2767*3855#, se interpretato come un link telefonico, causava un reset totale del dispositivo, cancellando dati, configurazioni e applicazioni. A oggi, questo rappresenta uno dei più eclatanti esempi di come un codice apparentemente inerte possa contenere una bomba logica, sfruttando meccanismi legittimi del sistema operativo.

    L’utente curioso: l’anello debole della catena

    Infine, il messaggio chiude con un’osservazione tanto banale quanto cruciale: la vera vulnerabilità è l’essere umano. L’utente medio, di fronte a un QR-code sconosciuto, tende a scansionarlo per pura curiosità, dimenticando ogni principio basilare di sicurezza informatica. Studi citati nel testo confermano che, in ambienti controllati, la maggior parte dei soggetti ignari esegue la scansione senza porsi domande.

    Questa dinamica rientra nel classico campo del social engineering visivo, dove l’attaccante non forza il sistema, ma manipola il comportamento dell’utente per ottenere un’esecuzione volontaria del codice.

    Conclusioni: educazione digitale e threat modeling anche per i QR-code

    I casi riportati nel canale Telegram non sono frutto di fantascienza o ipotesi teoriche. Sono incidenti reali, documentati, verificati e – in alcuni casi – ancora oggi possibili, seppur mitigati da patch successive.

    Ci ricordano che ogni tecnologia, anche la più banale, può essere arma a doppio taglio, soprattutto quando coinvolge l’interazione tra mondo fisico e digitale.

    E allora cosa possiamo fare?

    1. Formare gli utenti a non scansionare QR-code da fonti sconosciute o non verificate.
    2. Utilizzare app di lettura QR con sandboxing, logging e avvisi su contenuti potenzialmente pericolosi.
    3. Integrare l’analisi dei QR-code nei processi di threat intelligence aziendale, soprattutto nei contesti BYOD.
    4. Valutare il QR-code come vettore di attacco nel proprio threat model, specialmente in ambiti pubblici (es. aeroporti, eventi, marketing).

    Il QR-code, oggi, è diventato uno strumento trasversale e pervasivo. E proprio per questo, va trattato come ogni altro componente della superficie di attacco: con attenzione, consapevolezza e competenze tecniche.

    Sandro Sana
    Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA.

    Lista degli articoli
    Visita il sito web dell'autore

    Articoli in evidenza

    Sicurezza è Lavoro: dal cantiere al cloud, dobbiamo proteggere chi costruisce l’Italia!

    1° Maggio, un giorno per onorare chi lavora, chi lotta per farlo in modo dignitoso e chi, troppo spesso, perde la vita mentre svolge la propria mansione. Nel 2025, l’Italia continua a pian...

    Buon World Password Day! Tra MIT, Hacker, Infostealer e MFA. Perchè sono così vulnerabili

    Domani celebreremo uno degli elementi più iconici – e al tempo stesso vulnerabili – della nostra vita digitale: la password. Da semplice chiave d’accesso inventata negli anni...

    Benvenuti su Mist Market: dove con un click compri droga, identità e banconote false

    Ci sono luoghi nel web dove la normalità cede il passo all’illecito, dove l’apparenza di un marketplace moderno e funzionale si trasforma in una vetrina globale per ogni tipo di rea...

    La Cina Accusa la NSA di aver usato Backdoor Native su Windows per hackerare i Giochi Asiatici

    Le backdoor come sappiamo sono ovunque e qualora presenti possono essere utilizzate sia da chi le ha richieste ma anche a vantaggio di chi le ha scoperte e questo potrebbe essere un caso emblematico s...

    WindTre comunica un DataBreach che ha coinvolto i sistemi dei rivenditori

    Il 25 febbraio 2025 WindTre ha rilevato un accesso non autorizzato ai sistemi informatici utilizzati dai propri rivenditori. L’intrusione, riconosciuta come un’azione malevola, è st...