Mobile 二维码恶意软件

我读了几篇关于这方面的文章（例如），它似乎引起了相当大的轰动

---

据我所知，所有所谓的“恶意软件”都是指向恶意网站或应用程序的链接。我的问题是：是否存在其他形式的二维码恶意软件？如果没有，那么这类恶意软件有什么新功能？

二维码本身不可执行，也不包含可执行数据，因此只读取一个二维码应该是安全的。正如@Blender所说，他们当然可以链接到恶意软件，但本身并不恶意。

当qr码用于销售点终端时，有可能利用应用程序及其用户进行攻击，但这需要对应用程序有深入的了解。如果它们只包含一个URL，那么这与以任何其他方式打开同一个URL是一样的。

你是正确的，我看到的所有二维码恶意软件都只是指向恶意网站或应用程序的链接

---

QR码可以包含除链接以外的数据，如直接文本、联系信息（VCARD）或事件信息（VCALENDAR）。它甚至可以包含原始数据，理论上可能包含可执行代码，但大多数QR码阅读器软件可能会忽略此类代码，因为它不知道如何处理嵌入的数据。

QR码的最大有效负载为~4K，因此QR扫描器不会出现缓冲区溢出或类似情况

然而，它们可以通过几种有趣的方式引导人们访问恶意内容

您知道访问链接的计算机可能是移动设备。如果你有一个浏览器漏洞，比如说iPhone，你可以在用户访问网页后发布它

使用很长的URL，你可能会欺骗用户，让他们认为他们正在访问一个“安全”的网站。如果QR扫描器只显示URL的前20个字符，那么您可以创建一个QR，该QR将转到

https://www.VerySafeSite.com.evilsite.com

虽然扫描仪可能不易受到缓冲区溢出的影响，但通讯簿可能会受到影响。因此，制作一张具有异常长场的vCard可能会提供一个攻击向量，尽管这是极不可能的

贴纸攻击是可能的。罪犯可以找到带有合法二维码的海报，然后在上面贴上二维码标签。这可能会诱使人们进行扫描

---

因此，从本质上讲，几乎不可能有恶意的二维码——只有恶意的目的地。

文章的标题具有误导性。我会说“二维码如何让用户访问网页，并由于自己的易受骗性而被骗”。对于vCard，当用户看到非常长的字段时，难道不会产生怀疑吗？是否可能有隐藏/不可见字段来利用addressbook应用程序中的漏洞？“贴纸攻击”的例子很有趣。有这样的攻击案例吗？我在我的博客上记录了一次贴纸攻击