Praticamente todos os usuários de smartphones podem digitalizar códigos QR e ler as informações que eles contêm em apenas algumas etapas. Muitas vezes, esses são URLs que devem levar a um destino exclusivo – mas não no universo do Google. Na verdade, a digitalização de códigos QR com a câmera do Google pode ser encontrada em Android 12 ao risco de segurança tornam-se – e completamente desnecessários.
Informamos anteriormente que o scanner de código QR embutido no aplicativo Google Camera em Android 12 pode causar problemas. A combinação de quais não é totalmente incomum, especialmente entre os usuários do Pixel, é afetada Android 12, Google Camera e reconhecimento ativado do Google Lens. Por outro lado, você o usa Android 11, o problema não ocorre. Se você usar a câmera autônoma do Google Lens, também estará protegido contra o problema atual.
Especificamente, é sobre o scanner de código QR URLs falsificados e deseja corrigir os erros supostamente contidos nele. O problema disso é que não há erros e apenas a correção leva ao erro. Um dos novos domínios de nível superior, como .apple, de repente se torna .app. .cat torna-se .ca e o domínio inofensivo fooco.at torna-se foo.co.at. Por um lado, isso é irritante para o criador e para o scanner, mas também pode rapidamente se tornar um risco de segurança. Você pode encontrar mais exemplos neste artigo .
Uma possível falha de segurança
Como os códigos QR agora podem ser encontrados em muitos produtos ou em publicidade, os bandidos podem começar a procurar possíveis alvos. Por exemplo, é conhecido um caso em que um anúncio de emprego anunciado com um código QR não dá em nada porque a empresa possui um domínio como fooco.at, que encaminha para foo.co.at a partir do scanner do Google. Os invasores só precisam registrar a URL inexistente e “pegar” os usuários que confiam seus dados ao site supostamente confiável. Difícil imaginar se isso aconteceria no meinebankco.at.
Não é uma falha de segurança no produto do Google, mas cria uma fonte desnecessária de perigo. É preciso se perguntar por que os algoritmos ainda querem corrigir as informações nos códigos QR. O código é claro e os erros de leitura são bastante raros devido ao grande número de somas de verificação nos códigos. O que é particularmente estranho é que a função de lente no aplicativo da câmera é a culpada, mas o aplicativo de lente independente não tem esse problema.
Supõe-se que esta seja uma correção automática do Google Chrome-Sourcen, que é usado, entre outras coisas, para o controverso encurtamento das URLs na barra de endereços. No entanto, acabou Chrome não se sabe que isso funciona tão mal e apresenta muitos bugs. Algo deve ter dado errado internamente para que os editores da Heise – que descobriram a coisa toda – pudessem rastreá-la por um longo período de tempo.
O Google faria bem em desativar essa correção o mais rápido possível e removê-la do leitor de código QR. Se um URL defeituoso precisar ser corrigido, é melhor deixar isso para o navegador. Com isso, é a competência principal e certamente possui funções de proteção significativamente mais do que um simples leitor de código QR. Mas mostra mais uma vez que os desenvolvedores do Google geralmente facilitam para si mesmos e confiam nos algoritmos supostamente inteligentes…
Android 12: O scanner de código QR do Google falsifica URLs; Vulnerabilidade na câmera do Google e no Google Lens