Column - De herrijzing van de QR-code

Door Lex Borger 17 jun 2022

Ten tijde van de COVID-19 pandemie werd de wereld geconfronteerd met een noodzaak om contacten te vermijden. Eerst strikt met sluiting, maar uiteindelijk mochten we weer activiteiten ondernemen. De QR-code bleek toen heel handig. Een klein symbooltje dat snel alle nodige informatie kan verstrekken, zoals bezoekersregistratie, een menu, andere aanwijzingen of achtergrondinformatie. Vervolgens kwam de CoronaCheck app. Een app die zo rondom de QR-code was gebouwd dat het app-logo een QR-code is.

Tien jaar geleden was dat wel anders. Toen ik nog hoofdredacteur was probeerde ik referenties bij artikelen te voorzien van een QR-code. Ze werden niet gebruikt. Ze waren onbetrouwbaar op langere termijn, want de geldigheid kon niet gegarandeerd worden. Dit heeft gemaakt dat we het gebruik van QR-codes stopten.

Maar de QR-code is weer helemaal terug, omdat camera apps ze nu standaard herkennen. Omdat het handig was voor de aanrakingsvrije wereld die we kregen weet iedereen nu ook wat een QR-code is en hoe die eruit ziet, of je nu voor- of tegenstander was van de coronamaatregelen. Dit gebruik is een functioneel goed en veilig gebruik: scannen gebeurt in een herkenbare situatie, er is een zorgvuldig gedocumenteerd proces van een betrouwbare bron en je gebruikt een vertrouwde en specifieke app om dit te doen. Denk ook aan de QR-codes in de DigiD app, bankieren apps en authenticator apps.

Er is nog een reden voor de nieuwe populariteit, vanwege een privacy succes op een ander vlak: de browserfabrikanten zijn er eindelijk in geslaagd om third-party tracking tegen te gaan. Dit maakt het moeilijker voor websites om gedragsinformatie over hun bezoekers te verzamelen. Daar is een weg omheen gevonden: de ‘dynamische’ QR-code. Dit is een QR-code die zich met speciale inkt kan aanpassen aan de omstandigheden waarin die bekeken wordt. (Pauze…) Nee, het is al 1 april geweest.

Een dynamische QR-code is net zo statisch als een traditionele QR-code, maar verwijst naar een reclamebedrijf/tracking service. Deze toont een reclameboodschap of verwijst hier naar door en houdt klikstatistieken bij. Omdat dit een directe, first-party interactie is via de browser, kunnen ze ook volledig de browser-attributen van de bezoeker raadplegen en dus als vanouds tracken. Het aantal leveranciers van deze diensten is groeiende. Ongemerkt word je blootgesteld aan een groter aanbod van QR-codes. Als je deze scant, weet dan dat je als vanouds getrackt wordt zonder dat de nieuwe spelregels overtreden worden. En als over een jaar of wat de eerste faillissementen in deze branche zich aandienen, heb je tóch weer ongeldige, hijackbare QR-codes… Al met al, nieuwe veiligheidssores.

En als uitsmijter, in het kader van ‘What could possibly go wrong?’: de collectebus wordt vervangen door een collectant met een QR-code. De potentiële gever, de persoon die de deur opent, zal geconfronteerd worden met deze nieuwe mogelijkheid. Hoe geïnformeerd zal die zijn over het betaalproces, hoe het uit te voeren en wat te controleren. Het is een heel ander proces met een heel ander risicoprofiel. Er moet een blind vertrouwen gesteld worden in de instructie van de collectant, terwijl we mensen juist proberen te leren dat mensen die onverwachts contact met je zoeken en om een financiële transactie vragen juist gewantrouwd moeten worden. Bij de traditionele collecte met contant geld weet de gever duidelijk wat zijn impact is: het bedrag dat hij geeft. Vertrouw je de collectant niet, dan kun je om identificatie vragen. Mocht het desondanks toch een zwendelaar geweest zijn, ben je netto niets meer kwijt dan het giftbedrag, waar je emotioneel toch al afstand van had genomen. De impact van een QR-code en wat social engineering met eventueel wat kwaadaardige cybertechniek kan potentieel veel hoger zijn, tot aan opnamelimieten of erger.

De collecterende organisaties en de banken zullen duidelijke informatiecampagnes moeten aanbieden om mensen bewust te maken van het proces en de controlepunten. Ik vraag me af hoe snel deze wijze van collecteren breed geaccepteerd zal worden en hoe snel hier intelligente aanvallen op bedacht worden.
 

Lex Borger
security consultant bij Tesorion en oud-hoofdredacteur van iB-Magazine.
Lex is bereikbaar via lex.borger@tesorion.nl

Deze column verscheen in IB3-2022.