Марк заказал столик на вечер в своем любимом ресторане «У старины Сэма». Он собирался пойти туда вместе с красавицей Анной, с которой недавно стал работать в одной лаборатории.
Потихоньку наступил вечер.
— Привет, Анна! Напоминаю!
— Я помню. В
— Приедем, посмотрим.
Вот и вечер. Марк приехал на 10 минут раньше.
— Добрый вечер! Вот наше новое меню.
Официант указал на QR-код на столе.
— Вы его сканируете, а затем выбираете, что вы бы хотели в нашем онлайн-меню. Кухня сразу же знает, на какой столик заказано то или иное блюдо. Вы же выигрываете в скорости обслуживания.
— Да, спасибо! Я знаю о таком обслуживании. Но будьте добры, пригласите вашего администратора. У меня к нему есть ряд вопросов. Не волнуйтесь, это не по поводу вашего обслуживания.
Марк по привычке автоматически проверил, есть ли лого ресторана на QR-коде, и не отличается ли QR от соседних столов. Все же атаку на подмену QR-кода легко осуществить, просто переклеив код.
Через минуту у столика появился администратор.
— Ваши QR-коды собирают личную информацию о клиентах, например, данные о заказе, номер телефона и электронные письма?
— Мы этого не скрываем. Это необходимо для того, чтобы рестораны и кафе могли проанализировать поведение людей и составить их портрет. Базы данных, созданные на основе полученной информации, могут использоваться для маркетинговых акций, таких как персонализированные скидки или рекомендации.
— Вы не думали, что подобное внедрение QR-кодов может поставить под угрозу права посетителей кафе и ресторанов на конфиденциальность? Ведь в QR-код можно запрограммировать всё, что угодно — от сбора данных текущего местоположения до разрешения осуществить звонок или даже платежную транзакцию. Ведь основная проблема при считывании QR-кода большинством сканеров заключается в том, что переход по ссылке происходит автоматически, без запроса разрешения на дополнительные действия.
— Мы проходили аудит работы приложения и готовы предоставить вам его результаты.
— Марк, наше подразделение проводило тут аудит. Я возглавляла команду аудиторов.
— Ой, Анна, я тут заболтался!
— Да ну что ты. Это профессиональное. Везде видеть работу!
— Увы. Вообще-то я рекомендую, чтобы невольно не делиться своими персональными данными, использовать QR-сканеры с расширенными функциями: после считывания программа уведомит о всех процессах, «зашитых» в код, и пользователь сможет либо отменить некоторые действия самостоятельно, либо отказаться от перехода по подозрительной ссылке. Большинство «продвинутых» QR-сканеров платные, также функции по проверке безопасности QR-кодов доступны во многих антивирусных программах.
— Чувствую, завтра тебе будет о чем рассказать в отделе.
— Ой, да. Но давай попробуем на этот вечер забыть о работе!
Утро Марк рассказал в своем подразделении о вчерашнем разговоре и о меню.
— Самая критичная уязвимость такой технологии — это так называемая MITM-атака, в ходе которой происходит компрометация QR-кода. Что касается сорбираемых персональных данных, то они могут использоваться для безобидной персонифицированной рекламы обновленного сезонного меню. А могут продаваться «серым» организациям для холодных звонков и рассылок или использоваться в личных корыстных целях. Здесь спасение утопающих — дело рук самих утопающих. Необходимо внимательно читать чек-боксы в согласии об использовании персональных данных, в которые мы ставим галочки. А также стараться не переходить по QR-кодам в сомнительных заведениях, где заведомо понятно, что к вопросу безопасности не относятся серьезно.
— И что, теперь и пообедать не удастся?
— Самое надежное — попросить бумажное меню. Но если вы все-таки воспользовались QR-кодом, то не кликайте на информацию, которая требует ваши пароли, не загружайте документы или приложения с этого сайта, не заполняйте никакие формы и не вносите свои личные данные.
Сказка? Нет! Подобные меню уже есть в целом ряде московских (и не только) ресторанов. Так что думайте!
