Door Anoniem: Ik vind daarom werkelijk dat niet de QR-code zelf het probleem is maar hoe software die afhandelt.
Maar dat software dit soms ruk afhandelt, is een feit.
iPhone / iPad
• Als ik op mijn iPhone de meegeleverde Safari browser als standaard instel, en met de foto-toestel-app de in
https://www.omroepwest.nl/nieuws/4930260/let-op-criminelen-plakken-valse-qr-codes-op-parkeerautomaten getoonde QR-code scan, verschijnt (met gele achtergrond) onder in beeld:
(/) qrco.de x
(die "(/)" moet een kompas-icoontje voorstellen).
• Als ik Chrome of Firefox als standaard browser instel, verandert die tekst in respectievelijk:
(->) Open in Chrome x
en
(->) Open in Firefox x
In geen van de gevallen zie je overigens of er uitsluitend via
https (nauwelijks te kapen op een onvertrouwd netwerk) verbinding gemaakt zal worden.
Precies om die reden heb ik een
gratis en
maximaal privacy-vriedelijke open source QR-code scanner app gemaakt (je hebt er geen compiler of ontwikkelomgeving voor nodig! Het lijkt ingewikkeld maar in de praktijk valt dit "visueel" programmeren reuze mee. Wel is de "Opdrachten" app soms wat nukkig en ook niet helemaal bugvrij). Met als bonus dat je, als de link begint met
http:// of indien er überhaupt geen protocol in is opgenomen (ja, dat komt vaak voor) de link met
https:// kunt laten beginnen.
En ik heb de sourcecode notabene op deze site gepubliceerd, zie
https://security.nl/posting/829028 (een lange toelichting vind je bovenaan die pagina).
Nb. mocht
http://security.nl gehacked worden (of zijn), en/of als je mij of de beheerders van security.nl niet vertrouwt: je kunt altijd
zelf die source checken op "kwaadaardigheid" (dat raad ik sowieso aan; probeer te begrijpen wat elke "instructie" doet en waarom deze nodig is. Bij twijfel niet inhalen! (denk
nooit "het zal wel goed zijn" als je broncode inpecteert op kwaadaardige wijzigingen en/of toevoegingen; criminelen die ongeautoriseerd sources wijzigen, doen er alles aan om te voorkómen dat zulke wijzigingen snel ontdekt worden).
Android
Onder Android gebruik ik nog de "Privacy Friendly QR-Code Scanner" van de "Karlsruhe Institute of Technology (KIT)" onderzoeksgroep (
https://secuso.aifb.kit.edu/english/QR_Scanner.php). Helaas is deze niet meer in de Google Play Store te vinden, maar nog wel via F-Droid, zie
https://secuso.aifb.kit.edu/english/105.php.
Een alternatief, maar sowieso handig voor Android, is de URLCheck app van TrianguloY (alle download links vind je in
https://github.com/TrianguloY/URLCheck). Als je die app als standaard browser instelt, kun je eenvoudig kiezen in welke browser je de link opent. Desgewenst kun je eerst de URL aanpassen (zoals
http:// vervangen door
https://).
"URLCheck" voor iPhone / iPad?
Weet iemand of er een vergelijkbare (privacy-vriendelijke) app voor iOS/iPadOS bestaat?