Neue Tricksereien mit QR-Codes melden Sicherheitsforscher von Barracuda. Die Angriffe kommen per E-Mail und umgehen viele der in großen Unternehmen üblichen Sicherheitsscans. Liest der Endnutzer seine E-Mails dann auch noch mit aktivierter HTML-Darstellung, wird er leicht zum Opfer.

QR-Codes (quick response codes) sind bei Verbrechern beliebt, weil sich darin Hyperlinks kodieren lassen, die Menschen nicht lesen können. Damit lassen sich leichter falsche Hyperlinks unterjubeln. Unter einem Vorwand werden die Zielpersonen dazu gebracht, den Code einzuscannen; flugs landen sie auf einer vom Angreifer kontrollierten Webseite. Diese Methode wird so häufig für das Ernten fremder Zugangsdaten genutzt (Phishing), dass es für Phishing mit QR-Code einen eigenen Begriff gibt: Quishing.

Separate Dateien ergeben zusammen ein Bild

Eine verblüffend einfache Methode besteht darin, einen irreführenden QR-Code in zwei (oder mehr) Teile zu teilen. Diese Bilddateien werden beispielsweise einem Phishing-Email angehängt. Sicherheitssysteme versuchen in der Regel, die Bilddateien einzeln auszuwerten, finden in den einzelnen QR-Schnipseln aber nichts Verwertbares und lassen die gefährliche Nachricht passieren.

Mittels HTML können die Bilder allerdings am Endgerät des Nutzers so angeordnet werden, dass sie optisch wie ein einzelnes Bild wirken – sowohl für das menschliche Auge als auch die Kamera eines Smartphones. Scannt die Zielperson den virtuell zusammengesetzten QR-Code ein, wird sie auf eine betrügerische Webseite umgeleitet, wo beispielsweise Malware oder eine Phishing-Falle warten.

Verschachtelung

Schon länger bekannt ist die Idee, zwei QR-Codes in einander zu verschachteln. Welcher der beiden Codes dann von einem Smartphone ausgewertet wird, hängt insbesondere von der Entfernung zwischen Code und Kamera ab. Ein automatisiertes Sicherheitssystem wird allerdings versuchen, das gesamte Ding auszuwerten.

Barracuda hat Angriffe mit solchen verschachtelten QR-Codes beobachtet. Ein enthaltener Hyperlink ist völlig harmlos und zeigt beispielsweise auf eine Suchmaschine, während der andere Link in die Falle führt. Die Angreifer setzen darauf, dass die verschachtelten Codes die Sicherheitsscanner in die Irre führen. Die aufgeteilten QR-Codes sind ein Trick des Phishing as a Service Toolkits Gabagool; die verschachtelten QR-Codes eine Methode, die das Konkurrenzprodukt Tycoon 2FA beherrscht.

ASCII-Code QR

Bereits im Oktober hat Barracuda über gefinkelte QR-Codes berichtet, die gar nicht als Bilddatei daherkommen, sondern aus ASCII-Codes zusammengesetzt sind. Der ASCII-Code kennt neben Buchstaben und Satzzeichen noch allerlei andere Zeichen, darunter 32 unterschiedliche „Blöcke“, beispielsweise █.

Diese werden in einer Matrix aneinandergereiht. Verbunden mit einem Cascading Style Sheet (CSS), das die Farbe einzelner ASCII-Zeichen ändert und beispielsweise auf Weiß stellt, lassen sich Textgebilde erstellen, die von Smartphones als QR-Code erkannt werden, aber am Sicherheitsscanner unerkannt vorbeigekommen sind. Alternativ lassen sich die weißen Stellen aus geschützten Leerzeichen aus dem ASCII-Repertoire zusammenstellen.

Argwohn angezeigt

Außerhalb geschlossener Systeme sind QR-Codes grundsätzlich verdächtig. Wir empfehlen Argwohn gegenüber QR-Codes sowie grundsätzlich, E-Mails nur als Plain-Text darzustellen. Das sieht zwar nicht so hübsch aus, erschwert aber eine ganze Reihe unterschiedlicher Überwachungs- und Angriffsmethoden, nicht nur QR-Code-Tricks.

Angreifer profitieren mit QR-Codes von einem speziellen Vorteil: Sie lassen sich in der Regel nicht mit demselben Endgerät auswerten, auf dem sie angezeigt werden. Wer meint, einen auf seinem Computerbildschirm angezeigten QR-Code auswerten zu müssen, greift in aller Regel zum Smartphone (was aber nicht unbedingt erforderlich wäre). Und während Arbeitgeber versuchen, mittels Sicherheitssystemen den Aufruf verdächtiger URLs von Arbeitsplatzcomputern hintanzuhalten, ist das zum QR-Scan genutzte Smartphone nicht selten privat und agiert an den Sicherheitssystemen vorbei.

So erreichen Phisher ungemütlich hohe Erfolsquoten. In der Praxis hat sich Anti-Phishing-Training leider als weitgehend nutzlos erwiesen.

(ds)

Ein aktuelles Urteil aus Österreich ist ein weiterer Schritt im Streit um sogenannte „Pay or Okay“-Modelle. Demnach habe die Zeitung „Der Standard“ mit der Gestaltung ihrer Cookie-Banner gegen die Datenschutzgrundverordnung (DSGVO) verstoßen und keine gültige Einwilligung zur Verabeitung von Daten eingeholt.

Beim Modell „Pay or Okay“ werden Leser:innen vor die Wahl gestellt, ob sie ein kostenpflichtiges Abonnement abschließen wollen („pay“) oder Tracking auf der Website zustimmen („okay“). Abonnieren oder akzeptieren: Aus Perspektive von Datenschutz und Privatsphäre ist das keine faire Wahl.

In Fall des Standard wurden Leser:innen beim Klicken des „Okay“-Button direkt zu den Inhalten der Seite geleitet, ohne dass sie zuvor auswählen konnten, für welchen Verarbeitungszweck ihre Daten erhoben werden sollen. Dagegen hat sich die NGO noyb gewehrt. Das ist eine gemeinnützige Organisation aus Wien, die sich für Datenschutz in der EU einsetzt.

Keine freiwillige Einwilligung

Möchten Online-Medien ihre Nutzer:innen tracken, benötigen sie dafür laut DSGVO eine wirksame Rechtsgrundlage. Websites und Apps berufen sich dafür in der Regel auf die informierte und freiwillige Einwilligung und servieren Besucher:innen Cookie-Banner. Allerdings kommt es auf die Gestaltung des Banners an.

Der Europäische Datenschutzausschuss (EDSA) vertritt in seinen Leitlinien zur Einwilligung die Ansicht, dass zu verschiedenen Verarbeitungsvorgängen auch gesonderte Einwilligungen eingeholt werden müssen: „Wenn der Verantwortliche verschiedene Zwecke für die Verarbeitung zusammengefasst hat und nicht versucht, gesonderte Einwilligungen für jeden Zweck einzuholen, fehlt die Freiheit.“

EU-Datenschützer*innen watschen Abo-Modelle ab

Darauf hatte sich auch die österreichische Datenschutzkonferenz (DSB) bezogen, die den Fall aufgrund der noyb-Klage bewertet hatte. Grundsätzlich seien „Pay or Okay“-Modelle demnach zwar kein Problem. Im Fall des Standard hätte Nutzer:innen aber keine ausreichend granulare Auswahl treffen können. Diese Entscheidung hat nun auch das Bundesverwaltungsgericht (BVwg) in Österreich bestätigt.

„Sowohl die DSB als auch das Gericht haben entschieden, dass Nutzer:innen die Möglichkeit haben müssen, die Einwilligung zu jedem Verarbeitungszweck einzeln abzugeben oder zu verweigern“, fasst noyb die Lage zusammen.

Die NGO geht jedoch davon aus, das Der Standard die Entscheidung noch vor dem Verwaltungsgerichtshof (VwGH) in Österreich anfechten werde, bis sie wahrscheinlich vor dem dem Europäischen Gerichtshof (EuGH) landet. Der Standard hat in Reaktion auf das Urteil bereits angekündigt, die Granularität der Einwilligung anzupassen.

Mehr Tracking durch „Pay or Okay“

„Pay or Okay“-Modelle sind besonders in der EU verbreitet. Populäre Nachrichtenseiten wie T-Online oder der Spiegel setzen sie ein. Auch Meta nutzt das Modell seit 2023 für Facebook und Instagram.

Fachleute bezweifeln nicht nur die Rechtmäßigkeit, sondern auch die finanzielle Notwendigkeit dieser Modelle. Laut einem Bericht von noyb stammen nur etwa 10 Prozent der Einnahmen von Medienhäusern aus digitaler Werbung und höchstens 5 Prozent aus der Verarbeitung von personenbezogener Daten.

Vor die Wahl zwischen Abonnement und Tracking gestellt, würden sich mehr als 99 Prozent für Tracking entscheiden. „Laut Studien wollen aber nur 0,16 Prozent bis 7 Prozent der Menschen getrackt werden oder ihre Daten für personalisierte Werbung verwenden“, mahnt noyb.

Wer einen Tesla fährt, kann umfangreich Daten des Fahrzeugs sammeln und auswerten. Das gelingt etwa mit dem Open-Source-Projekt TeslaMate. Ein IT-Forscher hat nun hunderte offenstehende Instanzen im Netz gefunden, die diese Daten aller Öffentlichkeit preisgeben.

Aufgefallen ist der fehlende Zugriffsschutz Seyfullah Kılıç, der in einem Blog-Beitrag darüber berichtet. Das quelloffene Tool TeslaMate steht auf Github zum Herunterladen bereit. Es erlaubt, die Daten des eigenen Fahrzeugs zu sammeln und speichert diese in einer Postgres-Datenbank. Die Daten können mit Grafana visualisiert und analysiert sowie an lokale MQTT-Broker verteilt werden. Das ermöglicht die Aufbereitung, etwa mit Home Assistant.

Zu den Daten, die TeslaMate verwaltet, gehören unter anderem Fahrtendaten mit automatischen Adressnachschlagen, Ladestand und Zustand des Akkus. Das Projekt listet auf Github noch diverse Standard-Dashboards zu weiteren Daten auf, die damit einsehbar sind.

Selbsthosting ohne Zugriffsschutz

Das Problem, auf das Kılıç gestoßen ist, liegt im Selbsthosting von TeslaMate. Die Software enthält standardmäßig keinen Zugriffsschutz und erlaubt allen Zugriff auf die Daten. Dadurch können Unbefugte etwa den Standort einsehen – daraus lässt sich gegebenenfalls ableiten, ob ein Tesla zuhause oder im Büro ist. Etwa für Angreifer wie Einbrecher jedoch sehr nützlich.

TeslaMate stellt standardmäßig auf Port 4000 ein Web-Interface bereit und auf Port 3000 ein Grafana-Dashboard. Das verlockt Nutzerinnen und Nutzer offenbar dazu, Instanzen auf Cloud-Servern zu hosten oder heimische Installationen ins Internet durchzureichen. Mit einer Suche nach offenen TCP-Ports 4000 und der Abfrage des Standard-HTTP-Titel von TeslaMate über das Internet stieß der IT-Sicherheitsforscher auf hunderte offene Instanzen, die diese eher persönlichen Informationen aller Welt preisgeben.

Darauf basierend hat er einen Crawler programmiert, der die genauen GPS-Daten der überwachten Teslas, ihre Modell-Namen, Software-Version und Updateverlauf sowie Zeitstempel von Reisen und Ladesitzungen auswertet. Durch das Auswerten der täglichen Gewohnheiten auf einer Karte konnte er etwa Heimatadressen und oft besuchte Orte erkennen. Unter der URL teslamap.io veröffentlicht Kılıç seine Auswertungen auf einer Karte. Auch in Deutschland, Österreich und Schweiz sind demnach mehrere Fahrzeuge unter TeslaMate-Beobachtung.

Das Problem ist der fehlende Zugriffsschutz. Der Dienst sollte nicht öffentlich im Netz erreichbar sein, sondern wenigstens in LAN stehen, auf das nur Zugriff über VPN gelingt. Der IT-Forscher schlägt zudem vor, einen Reverse Proxy mit nginx aufzusetzen, der zumindest Basic Auth – also eine Log-in-Abfrage von Nutzername und Passwort – nachrüstet.

(dmk)