Sandro Sana : 1 Maggio 2025 08:30
Negli ultimi anni, la nostra quotidianità è stata invasa da piccoli quadrati pixelati capaci di portarci in un lampo su siti web, attivare applicazioni, aprire contenuti multimediali o avviare pagamenti digitali. I QR-code, acronimo di “Quick Response”, sono diventati il ponte tra il mondo fisico e quello digitale. Tuttavia, questo ponte – spesso considerato innocuo – può trasformarsi in un cavallo di Troia perfettamente mimetizzato, se sfruttato con competenza da un attaccante.
Un messaggio divulgato di recente nel canale Telegram “Social Engineering – Делаем уникальные знания доступными” (tradotto: “Social Engineering – Rendiamo le conoscenze uniche accessibili”) ci offre un’interessante retrospettiva su casi storici e reali in cui proprio il QR-code è stato impiegato come vettore di attacco. Analizziamoli con spirito critico e rigore tecnico.
Nel maggio 2013, i ricercatori di Lookout Mobile Security scoprirono una vulnerabilità sorprendente: le Google Glass (all’epoca un prodotto innovativo in fase sperimentale) erano progettate per “osservare” automaticamente le immagini potenzialmente utili all’utente. Questa funzione, sfruttata attraverso un QR-code appositamente craftato, consentiva di prendere controllo remoto del dispositivo.
Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi (o persone di qualsiasi età) alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
La vulnerabilità fu corretta da Google in poche settimane, ma resta un campanello d’allarme: anche le interfacce “non convenzionali”, come gli smartglass, possono diventare preda di exploit visivi. Se la patch non fosse arrivata in tempo, un attacco in-the-wild avrebbe potuto compromettere dati sensibili, audio, video e localizzazioni dell’utente — tutto a sua insaputa.
Il secondo caso riguarda ZXing Barcode Scanner, un’app open source molto diffusa tra il 2013 e il 2015. Questa applicazione, pur tentando di filtrare contenuti sospetti tramite regex, non discriminava efficacemente i contenuti URI malformati o pericolosi, lasciando passare exploit veicolati via JavaScript.
Un esempio riportato nel messaggio mostra come un codice del tipo:
javascript;alert(“You have won 1000 dollars! Just Click The Open Browser Button”);
venisse bloccato dal filtro. Tuttavia, con lievi modifiche sintattiche, il payload riusciva comunque a superare il controllo, venendo riconosciuto come URI “valido” e aprendo il browser con esecuzione implicita del codice.
Questo scenario rientra pienamente nella categoria dei code injection visuali, in cui l’utente è indotto ad attivare personalmente un codice malevolo, con un click che sembra innocuo ma innesca un comportamento pericoloso.
Nel 2012, il ricercatore Ravishankar Borgaonkar dimostrò come un semplice QR-code potesse contenere un comando USSD nascosto, capace di eseguire un factory reset su alcuni dispositivi Samsung.
Il codice tel:*2767*3855#
, se interpretato come un link telefonico, causava un reset totale del dispositivo, cancellando dati, configurazioni e applicazioni. A oggi, questo rappresenta uno dei più eclatanti esempi di come un codice apparentemente inerte possa contenere una bomba logica, sfruttando meccanismi legittimi del sistema operativo.
Infine, il messaggio chiude con un’osservazione tanto banale quanto cruciale: la vera vulnerabilità è l’essere umano. L’utente medio, di fronte a un QR-code sconosciuto, tende a scansionarlo per pura curiosità, dimenticando ogni principio basilare di sicurezza informatica. Studi citati nel testo confermano che, in ambienti controllati, la maggior parte dei soggetti ignari esegue la scansione senza porsi domande.
Questa dinamica rientra nel classico campo del social engineering visivo, dove l’attaccante non forza il sistema, ma manipola il comportamento dell’utente per ottenere un’esecuzione volontaria del codice.
I casi riportati nel canale Telegram non sono frutto di fantascienza o ipotesi teoriche. Sono incidenti reali, documentati, verificati e – in alcuni casi – ancora oggi possibili, seppur mitigati da patch successive.
Ci ricordano che ogni tecnologia, anche la più banale, può essere arma a doppio taglio, soprattutto quando coinvolge l’interazione tra mondo fisico e digitale.
Il QR-code, oggi, è diventato uno strumento trasversale e pervasivo. E proprio per questo, va trattato come ogni altro componente della superficie di attacco: con attenzione, consapevolezza e competenze tecniche.
1° Maggio, un giorno per onorare chi lavora, chi lotta per farlo in modo dignitoso e chi, troppo spesso, perde la vita mentre svolge la propria mansione. Nel 2025, l’Italia continua a pian...
Domani celebreremo uno degli elementi più iconici – e al tempo stesso vulnerabili – della nostra vita digitale: la password. Da semplice chiave d’accesso inventata negli anni...
Ci sono luoghi nel web dove la normalità cede il passo all’illecito, dove l’apparenza di un marketplace moderno e funzionale si trasforma in una vetrina globale per ogni tipo di rea...
Le backdoor come sappiamo sono ovunque e qualora presenti possono essere utilizzate sia da chi le ha richieste ma anche a vantaggio di chi le ha scoperte e questo potrebbe essere un caso emblematico s...
Il 25 febbraio 2025 WindTre ha rilevato un accesso non autorizzato ai sistemi informatici utilizzati dai propri rivenditori. L’intrusione, riconosciuta come un’azione malevola, è st...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006