I codici QR sono diventati una parte onnipresente della vita di tutti i giorni, che ti piacciano o meno . Ma possono anche rappresentare un rischio per la sicurezza, poiché non puoi vedere a colpo d’occhio a quale sito Web ti stanno indirizzando. Mentre le app di scanner di solito mostrano quale URL è nascosto all’interno di un codice QR, l’app Google Camera apparentemente ha fatto un ulteriore passo avanti e ha cercato di correggere automaticamente gli URL che ritiene sbagliati, causando più problemi che soluzioni.
Per fortuna, Google ha reagito rapidamente e ha già fornito una soluzione, solo pochi giorni dopo l’inizio della storia. L’ultima versione di Google Camera non presenta più il problema.
Come riportato e indagato dalla pubblicazione tedesca Heise , Google Camera ha regolarmente riscontrato almeno tre errori distinti. Il primo ruota attorno ad alcuni domini di primo livello con codice paese (ccTLD), e non importa se un codice QR ti indirizza solo a un dominio interessato (come l’inesistente https://fooco.at austriaco ) o se si collega ad altre directory ( https://fooco.at/bar/index.htm ). Se il secondo livello del dominio ( fooco ) termina con determinate stringhe, Google Camera inserirà automaticamente un punto, trasformando un link come https://fooco.at in https://foo.co.at . Heise ha testato ulteriori combinazioni e ha scoperto che il problema esiste anche per .au, .br, .hu , .il, .kr, .nz, .ru, .tr, .uk e .za. Le stringhe interessate alla fine del secondo livello includono co, com, ac, net, org, gov, mil, muni ed edu , ma non or, gv e k12 .
Codice QR Heise ha letto male Android 12Credito: Heise
Il secondo problema ha eliminato del tutto alcune stringhe e, ancora una volta, sono interessate solo le stringhe specifiche. Qui, il problema si presenta per i domini di primo livello che sono più lunghi di due lettere (come il catalano .cat ). Heise riferisce che Google Camera ingoia i fili dopo i due iniziali, trasformando qualcosa come l’indirizzo del referendum sull’indipendenza della Catalogna ( https://referendum.cat ) nell’indirizzo canadese inesistente https://referendum.ca . Lo stesso problema esiste per .int, .pro, .travel, .apple, .bet, .beer e .amex, quasi tutti ridotti alle prime due lettere ( .apple è l’eccezione nella trasformazione in . app). Il problema riguarda anche i TLD più recenti come .army, .art, .arte, .arab, .audio, .auto e .autos.
Il ricercatore sulla sicurezza Adrian Dabrowski ha scoperto un terzo problema che riguardava i numeri nel sottodominio (di solito la parte www ). Qui, Google Camera aggiungerebbe ancora una volta arbitrariamente un punto, trasformando indirizzi legittimi come https://www6.rbc.com della Royal Bank of Canada nel 404-ing https://www.6.rbc.com. Anche se probabilmente non dovresti utilizzare un codice QR casuale per accedere al tuo indirizzo bancario online, il problema potrebbe essere più rilevante per indirizzi come https://www1.nyc.gov di New York City, che Google Camera trasforma in https://www. .1.nyc.gov.
Se volevi scatenarti, potresti persino combinare l’errore 3 con l’errore 1 o 2, trasformando indirizzi come https://www2co.at in https://www.2.co.at.
Galleria di immagini (2 immagini)
Screenshot_20220120-163623
Screenshot_20220120-163642
Heise cita il ricercatore di sicurezza Dabrowski che sospetta che i problemi potrebbero essere stati correlati a un controverso cambiamento introdotto in Chrome. Il browser nasconde gli URL completi nella barra degli indirizzi per motivi di semplificazione, omettendo alcune delle stesse parti di Google Camera. Cerca il nostro indirizzo nella barra degli indirizzi di Chrome. Non vedrai https://www.androidpolice.com/ — sarà androidpolice.com . Sebbene sia comprensibile che Google cerchi di risparmiare più spazio possibile durante la visualizzazione di URL su schermi di piccole dimensioni, queste misure per risparmiare spazio non dovrebbero portare a errori nel browser, ha affermato Dabrowski.
Tuttavia, il problema riguardava qualsiasi browser, quindi anche se, ad esempio, avessi impostato Firefox come app di navigazione predefinita sul tuo dispositivo Android 12, verresti comunque indirizzato al collegamento sbagliato ogni volta che scansionavi un codice QR utilizzando Google Camera.
Google Camera legge i codici QR solo quando attivi i suggerimenti di Google Lens nelle sue impostazioni, consentendoti di “puntare la fotocamera per scansionare codici QR e codici a barre” utilizzando solo l’app Google Camera. Stranamente, Heise riferisce che l’app Google Lens stessa funziona perfettamente per tutti i tipi di codici QR e non introduce nessuno degli errori.
Il problema avrebbe potuto essere un grosso problema, perché potenzialmente ha portato le persone a siti Web dannosi appositamente creati per sfruttare queste regole di Google Camera. Anche se un attacco come questo potrebbe non raggiungere troppe persone, la creazione di un sito Web non rivendicato è abbastanza semplice, almeno se il dominio in questione esiste effettivamente (cosa che non è il caso di molti degli errori introdotti tramite Google Camera). Per fortuna, la maggior parte degli URL interessati erano casi limite ed è piuttosto improbabile che i proprietari di Pixel si imbattono regolarmente in indirizzi come questi in primo luogo, dato che i Pixel sono ufficialmente venduti solo in alcuni paesi per lo più non interessati dal primo errore. E TLD di nuova invenzione come .auto o .audiosono ancora abbastanza rari da non essere un problema in questo momento.
Heise è stata in grado di confermare le sue scoperte con Pixel 3 XL, 3a, 4, 4a, 5 e 6 Pro su Android 12. Un Pixel 3a con Android 11 non ha mostrato il problema, ma lo ha fatto dopo l’aggiornamento all’ultima versione del sistema operativo — presumiamo che ciò abbia anche attivato un aggiornamento di Google Camera. Possiamo corroborare le scoperte di Heise con la nostra ricerca su un’unità Google Pixel 6 .
Fortunatamente, Google ha lavorato duramente per risolvere rapidamente il problema. Controlla il Play Store per un aggiornamento della fotocamera alla versione 8.4.400.423370569.19, che non introduce più queste tentate correzioni.