«Камера, которая уже установлена на телефоне, может читать QR-коды безопаснее любого стороннего сканера. Но мы продолжаем их скачивать. Это похоже на покупку отвёртки, чтобы закрутить шуруп, который можно закрутить пальцами. Риски этой привычки формируют целый рынок киберугроз.»
Скрытая цена бесплатного сканера
Когда пользователь ищет в магазине приложений «Сканер QR», он ожидает найти узкоспециализированный инструмент для решения одной задачи. Однако экономика большинства бесплатных приложений строится на монетизации внимания и данных пользователя, а не на продаже самого продукта. Сканер QR-кодов, который якобы нужен только для мгновенного чтения ссылки, получает доступ к камере, фотогалерее, интернет-соединению, а иногда — к контактам или местоположению.
Эти разрешения часто обоснованы в описании приложения. Камера — для сканирования, галерея — для чтения QR-кодов из сохранённых изображений, интернет — для мгновенного перехода по ссылке. Проблема не в самих разрешениях, а в том, что происходит после их выдачи. Недобросовестное приложение может использовать доступ к камере не только в момент сканирования QR-кода, а фоном, собирая информацию об окружении. Доступ к галерее позволяет анализировать все сохранённые фотографии и документы. Постоянный доступ в интернет — отправлять собранные данные на сторонние серверы.
Фишинг с первого скана
Основная угроза связана не с самим приложением, а с тем, куда оно может перенаправить пользователя. QR-код, это слепая ссылка. Человек не видит URL, который закодирован в картинке. Доверяя сканеру, он ожидает, что тот просто честно отобразит зашифрованный текст или адрес. Но встроенный браузер приложения может подменить результат.
Например, пользователь сканирует код, который ведёт на легитимный сайт банка. Вместо прямого перехода приложение может сначала загрузить собственную промежуточную страницу с рекламой, а уже потом — конечный ресурс. Хуже того, злонамеренный сканер способен подменять домены: распознав, что код ведёт на popular-bank.ru, приложение может перенаправить на фишинговый сайт popular-bank.secure-login.ru, внешне неотличимый от оригинала. Пользователь, доверяя процессу сканирования, вводит на поддельной странице логин и пароль, которые немедленно уходят к злоумышленникам.
Техника подмены и маскировки
Такие приложения редко делают подмену для всех сканов подряд, это быстро будет замечено. Алгоритмы включают подмену выборочно, например, только для финансовых или почтовых доменов, или с небольшой вероятностью для каждого скана, чтобы не вызывать подозрений. Иногда подмена происходит не на уровне домена, а на уровне контента: загружается легитимный сайт, но в его код внедряется дополнительное рекламное окно или скрипт сбора нажатий клавиш.
Монетизация через навязчивую рекламу и подписки
Помимо прямого мошенничества, распространена агрессивная монетизация. Сканер, позиционирующий себя как простой и быстрый, после установки превращается в источник постоянных уведомлений, полноэкранной рекламы и предложений оформить платную подписку «для отключения рекламы». Эта реклама часто ведёт в низкокачественные маркетплейсы, казино или на страницы с вирусами.
Опасность здесь в двух аспектах. Во-первых, рекламные сети, используемые в таких приложениях, редко проводят строгую модерацию рекламодателей. Кликнув на баннер, можно скачать вредоносное ПО, замаскированное под полезную утилиту. Во-вторых, само приложение-сканер может содержать встроенные рекламные SDK, которые собирают и передают третьим сторонам идентификаторы устройства, историю активности и другие данные для таргетирования рекламы.
Как сторонний сканер становится трояном
Наиболее опасный сценарий — когда изначально безопасное приложение со временем обновляется до вредоносной версии. Разработчик может продать проект, или в его учётную запись магазина приложений может быть совершено взлом. После этого выходит обновление, которое добавляет функционал для скрытого майнинга криптовалюты, показа дополнительной агрессивной рекламы или даже для установки других вредоносных модулей с серверов злоумышленников.
Пользователь, который однажды доверился приложению и настроил автоматическое обновление, может долгое время не замечать изменений в его поведении. Фоновый майнинг приводит к перегреву и быстрой разрядке аккумулятора, но это часто списывается на естественный износ телефона.
Почему встроенная камера — самый безопасный сканер
Практически все современные смартфоны на iOS и Android имеют встроенную функцию сканирования QR-кодов через приложение «Камера». Этот функционал работает на уровне операционной системы, не требует установки стороннего ПО и предоставления дополнительных разрешений. Алгоритм сканирования вшит в ОС и обновляется вместе с ней, что минимизирует риски внедрения вредо0носного кода.
Когда вы сканируете QR-код камерой, процесс происходит локально, на устройстве. Распознанная ссылка отображается в виде текста, и вы видите её перед переходом. Это даёт критическую секунду на проверку домена. Системный браузер, который открывается по нажатию на ссылку, также является частью защищённой экосистемы ОС и менее подвержен манипуляциям.
Что делать, если камера не видит код
Иногда встроенный сканер может не распознать код из-за плохого освещения, повреждённого изображения или нестандартного формата. В этом случае стоит искать альтернативы не среди приложений-сканеров, а среди крупных многофункциональных программ, для которых сканирование QR — второстепенная, а не основная функция. Например, мессенджеры или приложения банков часто имеют встроенный, но изолированный модуль для сканирования. Риск в них ниже, так как репутация основного приложения для разработчика важнее монетизации с одного мелкого модуля.
Правила безопасного взаимодействия с QR-кодами
- Всегда используйте для сканирования штатное приложение камеры. Откажитесь от специализированных сканеров из магазинов приложений.
- Перед переходом по ссылке смотрите на распознанный URL. Остерегайтесь длинных строк с множеством поддоменов, опечаток в названиях известных брендов (например, vk0nakte вместо vkontakte).
- Не сканируйте QR-коды в подозрительных местах: на случайных листовках, наклеенных на уличное оборудование, в неофициальных чатах.
- Периодически проверяйте список установленных приложений и удаляйте те, которыми не пользуетесь, особенно узкоспециализированные утилиты вроде сканеров, фонариков, «чистильщиков» памяти.
- Отключите автоматическое обновление для приложений от малоизвестных разработчиков. Лучше обновлять их вручную, предварительно изучив, что пишут в отзывах о нововведениях.
QR-код, это инструмент удобства, но его слепота создаёт уязвимость. Доверяя процесс распознавания сторонней программе, вы передаёте ей ключ от первой линии защиты — возможности увидеть ссылку перед переходом. Безопасность в этом случае строится не на сложных технологиях, а на отказе от ненужного посредника и привычке к простой проверке.