QR-код: для чего он создан и как применяется

QR-коды прочно вошли в нашу жизнь, в буквальном смысле этого слова. Как ранее сообщала Перспектива-ру, не так давно в Госдуму был внесен законопроект о введении в стране QR-кодов на транспорте, в общепите, для посещения торгово-развлекательных комплексов. При принятии этого закона уже будет невозможно попасть на поезд, самолёт и другие общественные места.

Какова же история их создания рассказал эксперт по кибербезопасности Андрей Масалович.

Для начала заглянем в прошлое, в далёкий 1948 год, когда первые компьютеры уже делали, но позволить это себе могли только военные потому, что это были огромные железяки с пол-этажа, и в одном американском университете пришёл один человек и сказал: "А давайте сделаем код, который сможет читать компьютер из реального Мира. То есть, не свою перфокарту, перфоленту, а что-нибудь написанное. Например, маркировку товаров." И возникла идея штрих-кода. Потом семь лет понадобилось для того, чтобы один человек посмотрел на азбуку Морзе и взял и нарисовал её вертикально вверх. Получились вертикальные полосочки. Был разработан стандарт, в котором было 1024 символа. Потом оказалось, что реализации этого стандарта появляется куча технических проблем. И впервые в 1974 году в супермаркете торжественно продали жвачку "Wrigley’s" по QR-коду. Вот так американцы с 1948 по 1974 год придумали как сделать считываемый штрих-код. После этого штрих-коды взлетели, потому что это реально было удобно. Но в нём не было защиты от потери качества, т. е. штрих-код читался, если он был качественным. Если он смят, загнут, тогда начинаются мучения с попыткой его прочесть. К тому же, он оказался коротковатым, некоторые задачи требовали больше информации, но она не укладывалась в 1024 символа.

В 2000-ых годах одному японскому инженеру автозавода было поставлена задача усовершенствовать коды для маркировки деталей, чтобы удобно было читать какая, откуда, На заводе десятки тысяч наименований в цепочках поставок и возникла необходимость в единой сплошной маркировке, чтобы работник мог понять с какими деталями что делать. И он вспомнил, старую разработку в Массачусетском Технологическом Университете ещё в 1960-ом году, два американца Рид и Соломон предложили "код Рида-Соломона", когда добавляются дополнительные символы, биты чётности, или проверочные элементы, чтобы проверить, что кусок данных передан без искажений, а если с искажениями, ещё вычислить место искажения. 

Спустя девять лет, когда стали приступать к выпуску компакт-дисков, стало понятно, что плохо записанные данные при записи на них могут двоить. Тогда вспомнили про коды Рида Соломона и какой-то математик доказал, что они самые экономичные с точки зрения восстановления.

Если сказать упрощённо, если я отдаю кусок, в котором есть сто ошибок, на то чтобы исправить эти ошибки, я должен иметь к этому куску всего двести дополнительных символов, условно говоря как в математической матрице - два на ошибку. Это код стали использовать при производстве дисков. И вот в начале 2000-ых про него вспомнили и сделали QR-код. Чем он отличается? Первое - это в нём есть точки привязки, по трём углам есть квадратики, в четвёртом нет. Его всегда автоматически можно развернуть. Разрешение сегодняшних смартфонов такое, что эти квадратики считываются в любом случае. Придумали для него четыре вида кодировки, один из них японский. Решили что там будет не 1024 символа, а 4000 символов. В итоге даже если оторвать четверть QR-кода, то он сам себя восстановит, ну может не четверть, но восьмушку точно восстановит, также если он грязный, мятый, он всё равно останется "читабельным", сказал А. Масалович

QR-код

В 2010 году на это обратили внимание уже за пределами этого автозавода. QR-коды захватили планету практически мгновенно, к нам просто всё позже приходит, с запозданием. 

Безопасно ли использование QR-кодов? 

Опасно, однозначно отвечает А. Масалович. Я могу сходу перечислить восемь видов атак через QR-коды.

Когда мы наводим приложение на код, мы не знаем что приложение там делает, оно не докладывает нам. Если там написана ссылка на вредоносный сайт, приложение его увидит и перейдёт. Если это приложение считывающее код о прививке, оно увидит адрес госуслуг и должно туда перейти. Если ему подсунут другой адрес, заразный, оно туда перейдёт.

А если говорить об утечке личной информации, с этим как дело обстоит?

"Это не связано с QR-кодами", - отвечает А. Масалович. Если уходить в технологии, технология хорошая, она не виновата.

Говоря о применении кодов, нужно подчеркнуть, что сейчас мы приближаемся к тому, что появятся места, где собрана так называемая "золотая запись". Некоторый набор базовых идентификационных данных, из которого можно вытащить все остальные. Наше не уничтожаемое и достаточно полное и очень по неприятному полное досье. И с палатками, и с местоположением, и с прошлым..., ну всё в одном месте. И сейчас разные процессы наперегонки у нас буквально воруют какие-то куски данных, при этом дружат между собой и эти куски данных объединяют и всё стаскивают в одно место. Вот чем плохи QR-коды, они стаскивают всю информацию в одно место. И вот этом месте мы уже будем уязвимы. 

Говоря о безопасности, необходимо решение определенных вопросов. Во-первых, это нужно отдать в какие-нибудь надёжные руки, которые безусловно хорошие, мы им доверяем, например как дому на Лубянке.  А сейчас они у кого попало, у той же городской администрации, которая для меня не является субъектом гостайны, или тем более моих персональных данных, они не очень понимают уровень возможностей современных хакеров.

Биометрические данные

Второе. Среди этих данных оказываются биометрические данные, а утрата биометрии это навсегда. Вот сейчас собираются добавить в QR-коды ещё и фотографию. Если утрачена биометрия, параметры лица достаточные для идентификации, значит в любом помещении, в любом месте мира, в любом транспорте, вокзале вас можно идентифицировать, зафиксировать ваше перемещение, понять где, когда вы были.

Ваши перемещения теперь будут доступны, как пишут в документах, неустановленному кругу лиц. Тоже самое с голосом. Сейчас похоже на то, что у нескольких банков, у которых есть голосовое подтверждение, например - если вы хотите узнать остаток на счёте, скажите "да", его может записать злоумышленник и потом использовать, заявляет эксперт. 

С QR-кодами там есть более сложные атаки, уже глубинные хакерские, когда можно чужой сеанс перехватить. К примеру, сейчас вам придёт QR-код, наведите на него телефон, и я теперь вижу его сеанс, то есть он теперь идёт через меня, и я могу контролировать его действия. Это по-простому, тут чуть длиннее нужно рассказывать, но думаю, суть понятна. Хотя это достаточно легко лечится, можно сделать такое приложение, которое проверяло бы что написано в этом коде. Но пока никто этим не занимается.