Bezpečné skenování QR kódů

Jana Farkašová

Proč jsou QR kódy rizikové a proč na nich záleží

QR kódy zrychlují přístup k webovým stránkám, platbám či konfiguracím Wi-Fi, avšak zároveň obcházejí přirozenou vizuální verifikaci adresy a cílí na nejslabší článek: uživatele a jeho oprávnění. Útočníci zneužívají falešné nálepky, „přelepování“ legitimních kódů, zneužití URI schémat (např. sms:, tel:, wifi:, geo:), přesměrování a zkracovače odkazů. Cílem bezpečného skenování je minimalizovat udělený souhlas, kontrolovat destinaci a omezit, co může aplikace po načtení QR kódu vykonat.

Model hrozeb: od phishingu po tiché změny nastavení

  • Quishing (QR phishing): QR kód směřuje na falešný přihlašovací formulář, vyžaduje MFA kód nebo číslo karty.
  • Malvertising a přesměrování: řetězec zkracovačů skrývá konečný cíl; vkládá sledovací parametry.
  • Tichá iniciace akcí: mailto: s předvyplněným textem, sms: s odesláním na prémiové číslo, tel: s voláním, wifi: s připojením k škodlivé síti.
  • Konfigurace zařízení: některé enterprise/proprietární skenery dokáží zapisovat profily (VPN, MDM) – riziko mimo důvěryhodné zdroje.
  • Dodatečné sledování: dynamické QR obsahují identifikátor kampaně, UTM parametry nebo jedinečný token uživatele.

Minimalismus oprávnění: zásada „co nejméně a na co nejkratší dobu“

  1. Přístup ke kameře: povolte pouze aplikacím, které skutečně skenují; preferujte systémový skener v aplikaci fotoaparátu. V nastavení povolte „Jen při používání“ a pravidelně odebírejte přístup nepoužívaným aplikacím.
  2. Poloha, mikrofon, úložiště: skener QR nepotřebuje přístup k poloze ani mikrofonu. Snímky ukládejte pouze pokud je to nezbytné a do soukromého úložiště.
  3. Odkazy a výchozí akce: deaktivujte automatické otevírání odkazů po načtení; vyžadujte potvrzení a náhled URL.
  4. Integrace a analytika: vypněte „zlepšování produktu“ a sdílení diagnostiky ve skeneru; minimalizujte telemetrii.

Bezpečné skenování krok za krokem

  1. Zkontrolujte fyzické prostředí: není QR kód přelepený? Neodpovídá branding? Není kód na podezřelém místě (např. parkovací automaty, kde se často falšuje)?
  2. Náhled adresy: použijte skener, který zobrazuje celou URL. Dávejte pozor na domény, homoglifové znaky, subdomény a zkracovače odkazů.
  3. Ověřte protokol: trvejte na https. Při nestandardní schématu (např. wifi:, mailto:) si nechte zobrazit detail a neaktivujte akci automaticky.
  4. Žádné přihlašování a platby bez verifikace: pokud QR vyžaduje přihlašovací údaje nebo platební informace, potvrďte si cíl jiným kanálem (oficiální aplikace, web organizace, telefonická verifikace).
  5. Nepovolujte instalace: QR kód by neměl směřovat na APK nebo konfigurační profil mimo oficiální obchod či portál.

URL hygiena: na co si všímat v náhledu odkazu

  • Doména vs. subdoména: rozhodující je registrující doména (např. priklad.com), nikoli login.priklad.com.badhost.net.
  • Parametry a přesměrování: dlouhé řetězce, redirect=, url=, r= a utm_* mohou skrývat jiný cíl a sledování.
  • Homoglifové triky: znaky podobné latince (např. „а“ z cyrilice). Podezřelý název vždy raději zadejte ručně přímo v prohlížeči.

Platby a faktury: bezpečné používání platebních QR kódů

  • Bankovní aplikace: skenujte přímo v oficiální bankovní aplikaci, nikoliv v generickém skeneru. Před potvrzením porovnejte IBAN, částku a variabilní symbol.
  • Statické vs. dynamické QR kódy: dynamické kódy mohou vygenerovat unikátní odkaz s identifikátorem. Pokud je to možné, preferujte statické formáty bez sledovacích parametrů a bez webového přesměrování.
  • Ověření dodavatele: u faktur ověřujte QR kód proti záznamům v účetnictví; podezřelé změny IBAN jsou signálem podvodu.

Wi-Fi, vCard a další schémata: co se děje po načtení

  • wifi: schéma: neumožňujte automatické připojení. Skener by měl zobrazit SSID, typ zabezpečení a heslo; potvrďte ručně.
  • vCard / MeCard: skener může importovat kontakt se skrytými poznámkami nebo sledovacími URL. Buďte opatrní při ukládání do adresáře; použijte dočasné kontakty.
  • Kalendářní pozvánky: kontrolujte název, organizátora a URL; nepovolujte automatické přidání s upozorněními a sdílením.

Firemní a veřejný kontext: procesy a politika

  1. Politika skenování: povolené aplikace, povinný náhled URL, zákaz instalací z QR kódů, logování incidentů.
  2. Vzdělávání: školte uživatele o quishing útocích, fyzickém přelepování a rozpoznávání podezřelých domén.
  3. MDM/EMM: vynucujte oprávnění „jen při používání“, blokujte neznámá URI schémata a instalaci neznámých zdrojů.
  4. Kontrola materiálů: před zveřejněním vlastních QR kódů odstraňte UTM a identifikátory; používejte krátkou retenční dobu logů.

Ochrana soukromí u vlastních QR kódů

  • Statické odkazy: pokud nepotřebujete analytiku, nepoužívejte dynamické přesměrování ani zkracovače.
  • Data-minimalizace: v mailto: nepředvyplňujte citlivá pole; v sms: neuvádějte kompletní osobní údaje.
  • Transparentnost: pokud sbíráte metriky, uveďte to na stránce po načtení a nabídněte možnost opt-out.
  • Bezpečná grafika: neskrývejte v QR konfigurace měnící systém (VPN/MDM profily) pro širokou veřejnost.

Výběr aplikace pro skenování: kritéria

  • Bez reklam a trackerů: vybírejte aplikace s minimem třetích knihoven nebo použijte vestavěný fotoaparát systému.
  • Náhled a potvrzení: aplikace musí zobrazit celou URL a vyžadovat souhlas před provedením akce.
  • Historie a soukromí: možnost vypnout historii skenů nebo nastavit její krátkou retenční dobu, lokální ukládání bez cloudu.
  • Oprávnění: pouze přístup ke kameře, žádná poloha, mikrofon, kontakty či SMS.

Nastavení smartphonu: Android a iOS

  • Android: v nastavení aplikací zkontrolujte oprávnění skenerů. V prohlížeči povolte blokování „otevře aplikaci“ (App Links) pro neznámé domény. Zapněte upozornění na škodlivé weby a izolaci profilů (např. pracovní profil pro služební QR kódy).
  • iOS: preferujte skenování vestavěným fotoaparátem; v Safari zapněte blokování cross-site trackingu a upozornění na podezřelé weby. Zkontrolujte, které aplikace mají přístup ke kameře.

Rozpoznávání podvrhů v terénu

  • Přelepené nálepky: záhyby, odlišný materiál, přesah mimo oficiální grafiku. Porovnejte s plakáty a vývěskami organizátora.
  • QR na parkovacích automatech a sdílených kolech: raději otevřete oficiální aplikaci ručně; QR může směřovat na falešný platební portál.
  • Náhlé „akce“: QR kód slibuje „výhru“, vyžaduje přihlášení – vysoké riziko. Nezadávejte MFA kódy mimo oficiální doménu.

Incident response: co dělat po chybném načtení

  1. Okamžitě ukončete akci: zavřete stránku/aplikaci; neudělujte další oprávnění.
  2. Změňte hesla/MFA: pokud jste zadali přihlašovací údaje, změňte je a odhlašte se ze všech relací; aktivujte 2FA, rotujte recovery kódy.
  3. Zkontrolujte transakce: při platbách kontaktujte banku a nastavte dočasné limity, využijte chargeback pokud je to možné.
  4. Forenzní minimum: uložte historii skenů, náhledy URL a čas; nahlaste správcům sítě nebo bezpečnosti.

Specifika pro organizátory akcí a veřejné instituce

  • Oficiální kanál: uvádějte zkrácenou čitelnou adresu vedle QR kódu (např. doménu druhé úrovně) pro manuální zadání.
  • Ochrana proti přelepení: používejte embosované nebo holografické nálepky, fyzické ochranné vrstvy a náhodné rozložení, aby bylo přelepení zřejmé.
  • Bez trackingu: pokud to není nezbytné, nepoužívejte jedinečné identifikátory v QR; respektujte pravidla minimalizace a informování.

Kontrolní seznam pro uživatele

  • Skener zobrazí celou URL a vyžaduje potvrzení.
  • Aplikaci skeneru jste udělili pouze přístup ke kameře a to jen při používání.
  • Nečtete QR kódy na místech náchylných k podvodům bez další verifikace.
  • Při platbách používáte oficiální bankovní aplikaci a porovnáváte údaje.
  • Neinstalujete aplikace ani profily z QR kódů; nepřihlašujete se přes neznámé domény.

Shrnutí: bezpečnost QR jako kombinace opatrnosti a omezených oprávnění

Bezpečné skenování QR stojí na třech pilířích: vizuální a logické verifikaci cíle, minimalismu oprávnění (kamera ano, vše ostatní ne) a správných výchozích nastaveních aplikace – náhled, potvrzení, žádné automatické akce. Dodržováním těchto zásad výrazně snížíte pravděpodobnost podvodu i riziko nechtěného sdílení osobních údajů na minimum.

Súvisiace články

Zakladanie a vznik podniku

Zakladanie a vznik podniku Idea budúceho podnikateľa sa overuje prostredníctvom: analýzy budúceho trhu, osobnosti zakladateľa, disponibilných finančných zdrojov. Analýza budúceho trhu aké výrobky a služby […]