Twitter Blue, el Segundo Factor de Autenticación con SMS, y cómo puedes configurar Latch Cloud TOTP en Twitter.

Hace ya tiempo que tenemos Twitter Blue, la suscripción de pago a Twitter que permite tener el check azul de cuenta verificada, que al principio generó tantos ataques de suplantación y phishing en un primer momento. Ahora es ya una realidad, y son muchos los que cuentan con la versión de Twitter Blue, con el check azul, y con la posibilidad de tener un Segundo Factor de Autenticación basado en SMS, algo que dentro de muy poco no va a estar disponible para nadie más.

Figura 1: Twitter Blue, el Segundo Factor de Autenticación con SMS,

y cómo puedes configurar Latch Cloud TOTP en Twitter.

Los usuarios Verificados "antiguos", como es mi caso, tendremos que dejar de utilizar el SMS como 2FA para el próximo día 19 de Marzo, según la alerta que he recibido por mi app de Twitter estos días, donde me piden que utilice una app de 2FA (como Latch).

Figura 2: Twitter 2FA por SMS cierra el 19 de Marzo de 2023

En mi caso concreto no es necesario, porque yo desde hace ya unos años utilizo Latch Cloud TOTP en Twitter como 2FA para autenticarme en la plataforma, como os conté  en un proceso detallado en el artículo del año 2019 "Cómo proteger tu cuenta de Twitter con Latch Cloud TOTP", y aunque las pantallas han cambiado un poco, sigue siendo similar.

Figura 3: Configuración de la Autenticación en dos fases en Twitter

Hay que ir a la sección de "Configuración y Soporte -> Configuración y Privacidad -> Seguridad y Acceso a tu cuenta -> Seguridad -> Autenticación en dos pasos". No es complejo llegar a este punto para comenzar a configurar el 2FA.

Figura 4:  QRCode, semilla para introducción manual y verificación de configuración

A partir de ese momento, ya podemos configurar la "App de Autenticación", que yo os recomiendo que utilicéis Latch, con su opción de Cloud TOTP. Os saldrá el QR Code en vuestra cuenta de Twitter, y desde Latch deberéis escanearlo tras pulsar la opción de Añadir servicio.

Figura 5:Añadir un Cloud TOTP en Latch para Twtter

Una vez escaneado, bastará con poner un nombre, y ya tendrás tu cuenta de Twitter totalmente configurada en Latch. 

Figura 6:Añadir un Cloud TOTP en Latch para Twtter 

El siguiente paso es verificar en Twitter el proceso poniendo un código TOTP que funcione, y quedará listo.

Figura 7: Latch Cloud TOTP en Twitter activado correctamente

El último paso más que recomendable es que hagas una copia del Código de Respaldo, que te servirá para recuperar tu cuenta en caso de que pierdas el acceso a ella o a la app de 2FA. Así que guárdalo en lugar seguro.

Figura 8: Código de Respaldo de tu cuenta de Twitter

El código de respaldo lo puedes configurar en cualquier momento, no solo cuando configures el 2FA, pero es un buen momento para generarlo y tenerlo guardado.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Cómo obtener un Token OAuth con el QR Code del menú del bar y que te controle el Sappo

Desde el comienzo del desconfinamiento, y con la llegada de la fase dos de la desescalada, las tiendas y negocios de nuestro país han ido reactivando poco a poco la economía española. Uno de los grandes retos de esta desescalada ha sido encontrar nuevas formas de acercar los productos a los clientes evitando el contacto físico y manteniendo las distancias de seguridad dentro de las tiendas y restaurantes. 

Figura 1: Cómo obtener un Token OAuth con el
QR Code del menú del bar y que te controle el Sappo

Una de las técnicas más utilizadas ha sido la implementación de cartas o catálogos digitales, a los que podemos acceder utilizando la función de lectura de Códigos QR implementada en la mayoría de smartphones actuales o a través de una aplicación de la App Store. Aunque es una brillante idea para evitar el contacto y para garantizar la seguridad física de los clientes, puede suponer un gran riesgo para la ciberseguridad, como vamos a ver hoy.

En la mayoría de establecimientos que utilizan este método, el Código QR se encuentra en forma de papel plastificado o una pegatina pegada a la mesa en la que nos sentamos, haciendo posible que cualquier persona con intenciones maliciosas pueda despegarlo y pegar su propio Código QR. El riesgo aumenta en el caso de los establecimientos que permiten realizar el pago a través de Internet.  

Figura 2: Libro de "Cómo protegerse de los peligros en Internet"
de 0xWord escrito por José Carlos Gallego.

El uso de un Código QR malicioso no es nuevo, e incluso detrás de algunas de las direcciones detrás de esos códigos se han encontrado Kit de Exploits e incluso un bonito meterpreter para atacar dispositivos Android inseguros, o iPhones con exploit de algún Jailbreak, como el famoso JailOwnMe de Jose Selvi.  Pero... y ¿si utilizamos ese QR Code para llevar a la víctima a la página de Microsoft Office, Google, Facebook o Twitter que autoriza compartir Tokens OAuth con apps? Aquí puedes ver qué pasa si haces mal un clic en una app maliciosa enviada por Sappo.

Figura 3: Robando tu cuenta de Microsoft con Sappo

¿Y si hacemos que en lugar de ir a la carta vaya a una App maliciosa que se llame "Carta Digital" y le pedimos un Token OAuth como hacemos con Sappo? A continuación, os enseñaremos cómo se puede lograr una escalada de privilegios (en este caso en una cuenta de Microsoft) utilizando un Código QR creado por nosotros y la herramienta Sappo, solo por la comodidad de integrar la explotación del Token OAuth robado con las acciones de nuestra herramienta.

Un QR Code para que las víctimas besen al Sappo

Lo primero será la construcción de una aplicación en la plataforma de Microsoft para que nos ayude a extraer los datos de las cuentas que confíen en ella. Esto lo podréis hacer accediendo desde este enlace y utilizando cualquier cuenta de Microsoft. Este paso es necesario para obtener el AppID y el Secret que nos pedirá Sappo en los pasos posteriores. También es fundamental especificar un servidor con end-point donde recibir el AuthCode y el AccessToken para ello deberemos usar la URL de nuestro https://Sappo/Token/Authorize/AppID

Figura 4: Creando la App maliciosa en Microsoft que usará Sappo

Nota: Vale, todo esto no es público porque como ya sabéis Sappo es una herramienta privada, pero el proceso completo de cómo funciona lo tenéis en el artículo de SAPPO: Spear APPs to steal Oauth-Tokens que tenéis publicado hace ya mucho tiempo. Al final, se trata de explicar una PoC de cómo podría hacerse algo así, no de ponerlo en producción. Si quieres hacerlo tú, te dejamos la charla donde nuestros compañeros Chema Alonso y Pablo González presentaron Sappo en la RootedCON 2016.

Figura 5: Solo hay que besar un Sappo por Pablo González y Chema Alonso

Dicho esto, el siguiente paso será acceder a nuestro Sappo y crear nuestra aplicación, para ello en el apartado Apps seleccionaremos la opción “Create New”. A continuación, en el campo de nombre debemos utilizar un nombre que no haga que el usuario sospeche de que se trata de una trampa, por ejemplo, “Carta Digital”. 

Figura 6: Una vez creada la App Maliciosa la damos de alta en Sappo

En los campos de Id y Secret introduciremos los datos de nuestra aplicación creada en la plataforma de Microsoft. En el apartado de la imagen podemos poner una foto del logo del restaurante para que la estafa sea todavía más creíble. Para no levantar sospechas también es recomendable redirigir a la víctima a la página original del establecimiento en el que se encuentre.

Ahora que ya tenemos nuestras aplicaciones creadas solo nos falta crear las solicitudes de permisos y convertir esta petición en un Código QR. Este proceso es bastante sencillo, solo tenemos que acceder al apartado tokens en el Sappo. 

Figura 7: Creando un Spear Phishing con el enlace malicioso para
conseguir el Token OAuth para la App maliciosa que usará Sappo

En este caso en particular, como nuestro objetivo es convertir la petición en un Código QR rellenaremos los apartados como si fuésemos una aplicación de cartas digitales, sin embargo en el apartado de “Victim´s email address” pondremos un correo electrónico al que tengamos acceso para poder acceder al enlace de la petición y así poder copiarlo y transformarlo en un Código QR que posteriormente podremos imprimir y colocar en la mesa de cualquier bar o establecimiento.

Una vez hayamos terminado de introducir todos los datos pulsaremos en “Create” y accederemos al correo electrónico al que nos hayamos enviado la petición, pulsaremos sobre el enlace y cuando nos redirija a la página en la que se solicitan nuestros permisos de Outlook copiaremos el enlace que aparece en la barra de nuestro buscador. 

Figura 8: El enlace en el e-mail lleva a la URL de petición de un
Token OAuth para la App maliciosa en una cuenta de Microsoft

Ahora solo nos queda convertir este enlace en un Código QR, para ello podemos encontrar infinidad de páginas web gratuitas con esta función en las que solo hay que introducir la URL copiada y pulsar un botón para convertirla. En algunas de estas páginas podremos seleccionar el formato de nuestro Código QR o incluso añadir una foto con el logo del negocio al que queramos suplantar logrando así una mayor confianza entre las posibles víctimas.

Figura 9: Convirtiendo la URL de petición de permisos en un
QR Code malicioso para imprimirlo y ponerlo en la mesa del bar.

Con nuestro Código QR creado solo tendremos que imprimirlo en papel adhesivo o en papel normal dependiendo de donde vayamos a colocarlo y esperar a que las víctimas “Besen al Sappo”. Para terminar, solo tendremos que esperar a que aparezca en nuestra lista de tokens aquellos que sean válidos y con los que podremos obtener el control de las cuentas de las víctimas que hayan caído en esta trampa.  El resto ya lo tenéis en los ejemplos de lo que se puede hacer con Sappo.

• Sappo: Spear APPs to steal OAuth-tokens
• Sappo para Twitter
• Sappo: Ransomcloud O365

Autor: Sergio Sancho Azcoitia

QRLJacking: Cómo te pueden robar sesiones de WhatsApp Web #WhatsApp #Phishing #Privacidad

La ingeniería social es una rama muy antigua de la seguridad informática. El juego del gato y del ratón en el que las víctimas deben estar espabiladas para no caer en la trampa. Hoy queremos hablar de QRLJacking, una técnica que permite, mediante los tokens QRCode, llevar a cabo ataques que pongan en ventaja al atacante. Como ejemplo se utiliza al servicio más famoso que hace uso del QRCode: WhatsApp Web. Antes de nada, decir que el artículo es totalmente educativo y divulgativo. No nos hacemos responsables de un mal uso de esta información.

Figura 1: QRLJacking. Cómo te pueden robar sesiones de WhatsApp Web

Los miembros del proyecto OWASP han publicado una herramienta denominada QRLJacking para realizar pruebas de ataques de Spear Phishing en sitios que utilizan QRCodes como forma de autenticar a los usuarios. El esquema es sencillo de entender. En primer lugar, se debe configurar un servidor web dónde almacenar un sitio web falso con el Phishing y el código QRCode con el que se quiere engañar a la víctima. El objetivo final del ataque de Spear Phising ha de ser, de alguna forma, lograr que la víctima visite el sitio web falso y que lea el QRCode con el dispositivo móvil. A partir de dicho momento, el atacante tendrá todo lo necesario para obtener el acceso.

Figura 2: Esquema del ataque de QRLJacking

En el caso de WhatsApp, los atacantes buscan mostrar un QRCode de WhatsApp Web a la víctima y que, mediante el engaño, se pueda obtener la sesión de WhatsApp Web de la víctima, autenticada con ese QRCode para poder espiar los mensajes de WhatsApp.

PoC: Montando lo necesario

En primer lugar, se necesita bajar los ficheros de QRLJacking, lo cual puede ser llevado a cabo desde su Github. Como se indica en el propio Github, existen dos partes diferentes en la configuración del ataque: la parte Client-Side y la parte Server-Side. La parte Server-Side necesita que se suba el fichero qrHandler.php a un servidor web. Este fichero es el encargado de transformar el QRCode que se capturará de WhatsApp a Base64. El fichero PHP devuelve un fichero JPG con el QRCode.

Además, debemos utilizar la imaginación de cada uno para “convencer” al usuario con el mensaje de Spear Phishing de que el QRCode que se le mostrará en una web preparada debe ser leído con su aplicación de WhatsApp. Para ejemplificar esto, crearemos una web dónde se informe al usuario de que hay un premio y que para participar debe leer el QRCode con la aplicación de WhatsApp.

La parte Client-Side es la parte más Javascript. Necesitamos realizar varias acciones en nuestro navegador para poder capturar el QRCode de WhatsApp y enviarlo al fichero PHP que se encuentra en la parte Server-Side, explicada anteriormente. ¿Qué hay que configurar en nuestro Firefox?

1. En primer lugar, hay que escribir en la barra de direcciones “about:config” para acceder a las configuraciones del navegador. Hay que buscar la directiva “security.csp.enable” y deshabilitarla. 

Figura 3: Deshabilitar security.csp.enable 

Esto es necesario porque la página de WhatsApp Web viene protegida por CSP y si se intenta ejecutar el plugin para inyectar código en ella y capturar el QRCode, el navegador no dejará hacerlo ya que lo impide la política de Content Security Policy con la que viene la web.

Figura 4: Login de WhatsApp Web con Headers CSP

2. Después, utilizando el add-on Greasemonkey hay que cargar el fichero WhatsAppQRJackingModule.js. Este plugin de Firefox se encarga de inyectar el código JS necesario para extraer el QR Code del sitio web de WhatsApp Web y enviarlo al fichero PHP qrHandler.php, que se encuentra en el servidor web. Luego se genera el fichero JPG con la imagen del QR Code extraído y el sitio web falso podría utilizar dicho QR Code. 

3. Por último, se debe acceder al sitio web de WhatsApp Web desde nuestro propio navegador. Se llevará a cabo todo el proceso, explicado anteriormente, y si el proceso de ingeniería social es correcto, se obtendrá la sesión de WhatsApp Web de un usuario.

PoC: Dame tu sesión de WhatsApp Web

La página de WhatsApp Web genera gráficos con datos en formato QRCode cada cierto tiempo, por lo que el código JavaScript inyectado por el plugin va consultando continuamente para ir extrayendo el QRCode nuevo y reportarlo al servidor que lo mostrará en la página web de Phishing. A continuación, se muestra un QRCode válido en la página de WhatsApp Web.

Figura 5: QRCode de login para WhatsApp Web

En este instante el plugin de Firefox Greasemonkey captura el nuevo QRCode y lo envía al servidor dónde se haya configurado la parte Server-Side. Para esta prueba de concepto, el valor base64 del QRCode se envía a la dirección IP del atacante, en concreto al fichero QRHandler.php publicado en el servicio web publicado en esa dirección, que se encargará de generarar el fichero JPG con la imagen del QRCode en la web de Phsihing.

Ahora llega el momento de ver cómo un atacante puede obrar para que la víctima lea el QRCode con su móvil. Para ello, el atacante puede hacer un uso de un esquema de Spear Phishing clásico en el que se indique que se ha ganado un premio, quizá suscripción infinita a WhatsApp o llamadas ilimitadas. Esto ya cae en la imaginación de cada uno. El sitio web que se presenta a continuación refresca cada cierto tiempo el valor del QRCode. Nadie regala nada gratis, es algo que tenemos que tener siempre en la cabeza. Si nos toca un premio en Internet, desconfiemos.

Figura 6: Página en el servidor de Phishing que actualiza el QRCode de una sesión de WhatsApp Web

Si la víctima cae en este tipo de engaño, el atacante recibe la sesión de WhatsApp en su navegador de Firefox. Es decir, en el mismo sitio dónde el plugin de Greasemonkey está inyectando el código JavaScript para capturar el QRCode original de WhatsApp Web.

Figura 7: Sesión abierta en WhatsApp Web con el QRCode escaneado en el servidor de Phishing

Este artículo solo es una PoC que nos ayuda a ver lo fácil que puede ser, en algunas ocasiones, que caigamos ante las múltiples amenazas que tiene Internet. La ingeniería social sigue avanzando y mejorando ante las nuevas tecnologías que van apareciendo, por lo que la concienciación y el buen uso de éstas es algo vital para estar un poco más seguro en la red. Los ataques de Spear Phishing pueden buscar tus datos, tus credenciales si no tienes 2FA, tus tokens OAuth como ya vimos con Sappo o que valides un QRCode. Ten cuidado.

Autor: Pablo González Pérez (@pablogonzalezpe)
Escritor de los libros "Metasploit para Pentesters", "Ethical Hacking", "Got Root" y “Pentesting con Powershell”

Cómo hacer un #QRCode para crear un "Boarding Pass" de Clase Business y entrar a la sala VIP "Like a Boss"

Supongo que a muchos de vosotros os habrá pasado en alguna ocasión algo similar. Estas en el aeropuerto con un vuelo en Clase Turista y no puedes entrar a la sala VIP a disfrutar de la WiFi, un café o algo de comer. Y piensas algo como: "Lo bien que me vendría entrar ahora allí para relajarme tranquilamente estas dos horas que tengo de espera". Que duros momentos en la vida de un viajero.

Figura 1: Cómo hacer un #QRCode para crear un "Boarding Pass"
de Clase Business y entrar a la sala VIP "Like a Boss"

Si os habéis fijado, en muchas de las salas VIP lo único que hacen es escanear el QRCode del billete para ver si es un vuelo autorizado, un transporte en tren autentico, y da acceso para estar en la sala VIP. En la mayoría de los casos necesitas un billete de Clase Business y que salga en un plazo de tiempo concreto, si no, no hay forma de entrar. 

Figura 2: QRCode en billete de tren de Renfe

Si vas en un vuelo con un compañero que tenga un billete de Clase Business y tú no, un truco sencillo es hacer una copia al QRCode en el terminal móvil y que las dos personas usen el mismo. Claro, cuando la segunda persona va a usar el QRCode para entrar, sale una alerta que dice que el pasajero ya está dentro de la sala VIP, por lo que hay que dejar unos minutos de tiempo y usar la ingeniería social: "Hola, estaba dentro y he salido un segundo, ¿necesito escanear el código billete otra vez?". Esto lo he visto hacer yo hace mucho, mucho tiempo en un aeropuerto de un país muy, muy lejano.

Figura 3: Billete de Vueling con QRCode

Pero lo más hacker es hacer ingeniería inversa de los valores que hay en ese billete QRCode, que como ya vimos en el artículo de Miguel Ángel Hernández "QR Code Leaks" no es tan complejo, y hacerse un billete ad-hoc a tus necesidades. Tienes servicios online que te permiten decodificar QRCodes y otro tipo de códigos de barras. Aquí tienes uno:

Figura 4: Online QRCode Decoder

Esto es lo que ha hecho un investigador de seguridad mediante una app para Android donde solo tiene que darle los datos del vuelo del que quiere el billete, y se crea una QRCode funcional para las salas VIP. Aquí tenéis el vídeo de cómo funciona esto.

Figura 5: Fake Boarding-Pass para acceder a sala VIP

Por supuesto, esto también valdría para muchos otros entornos en los que el QRCode es el ticket de acceso al evento, recinto o servicio.

Figura 6: DonRamon y Perchita intentan falsificar un QRCode

Eso sí, tienes que hacerlo bien, no vaya a ser que te salga como en este anuncio que se hizo de Cálico Electrónico en el que DonRamon y Perchita intentaban falsificar un QRCode. Eso no es muy hacker.

SaludosMalignos!

QR Code Leaks: No "posturees" con tus billetes de viajes

Están por todas partes, nos rodean y no nos damos cuenta... hasta que ves uno y ya no puedes parar de buscarlos con la mirada y la verdad es que sin buscarlos, también los encuentras. Con los códigos QR pasa un poco como con los metadatos, es algo a lo que normalmente no se le presta atención pero está y se le puede sacar partido. Muchos investigadores de seguridad ya han hablado en el pasado de los riesgos de escanearlos a la ligera, ya que son un vector de entrada para un posible ataque, pero es que además son una gran fuerte de información que puede ayudar a un atacante a encontrar un camino para colarse dentro de los servicios de las organizaciones, o para acceder a a datos de los usuarios.

Figura 1: QR Code Leaks. No posturees con tus billetes de viaje

Códigos QR los hay de multitud de tipos y versiones, y además se utilizan para multitud de usos diferentes. Los más comunes son los códigos de tipo 1 y 2 en su versión de la 1 a la 40.  Como posibles usos basta con localizar con cualquier buscador “QR generator” y encontrarás posibilidades de todo tipo: tarjetas de identidad virtuales, enlaces, mapas, correo electrónico, SMS, conexión Wi-Fi, texto, pagos, etcétera son algunos de sus posibles usos.

Figura 2: Tipos de códigos QR con números de módulos para ser construidos

A partir de este punto ya se nos abre otra puerta para usarlo como medio de obtención de información y de exploiting, dejando rienda suelta a nuestra imaginación. Como ideas surgen unas cuantas:

- URLs de Subscripción: Publicitar un tema cualquiera para que participes en un concurso de los típicos que regalan un iPhone y poner un QR que te suscriba de forma sencilla a servicios de pago allí por Jamaica. Una estafa tan sencilla como la de los SMS Premium, pero basada en un QR Code. Para muestra una URL de suscripción metida en un QR Code que puedes escanear... si te atreves.

Figura 3: Código QR que esconde una URL de suscripción a un servicio

- Rogue AP WiFi: Conectar a la víctima a una red Wi-Fi controlada por nosotros para tener un esquema de man in the middle y usar las mismas técnicas que se emplearon para pillar in fraganti al vecino hax0r que te roba la WiFi y sacar a cualquiera hasta las citas con el dentista.

- Exploits Kits: Hacer exploiting a través de los códigos QR de las aplicaciones que los procesan y después ya, cada cual que ponga el payload que mejor le venga. Aquí tienes un ejemplo que explica cómo usar los QR Codes para llevar a las víctimas a payloads de MetasPloit.

- OSINT & Spear Phishing: Utilizarlos como una parte de las técnicas OSINT para dirigir ataques de ingeniería social.

De las tres primeras ya hemos visto en el pasado grandes investigaciones, pero es en esta última es en la que me voy a detener un poco más, porque esta fue de las primeras cosas que pasaron por mi mente.

Los QR Code Leaks en los billetes de vuelo

Un buen día de esos en los que te queda tiempo para mirar algo diferente del trabajo que tienes que sacar para ayer, me percaté de un billete de RENFE que tenía enfrente de mí y mapeé todo lo que aparecía en el código QR que lleva, con los campos que había impresos para comprobar que no había nada que no pudiera ya verse a simple vista pero... ¿Y los billetes de vuelo? ¿Pasará lo mismo con compañías como Vueling o Delta que hacen uso de ellos?

Figura 4: Billete de Renfe con QR Code localizado en Google Images

Con una búsqueda sencilla para hacer hacking con buscadores, localicé en Google billetes de compañías aéreas que la gente exponía gratuitamente, por aquello de que todo el mundo sepa dónde se va de vacaciones y nos dé la más amarga de todas las envidias posibles.

Figura 5: Billete de Vueling con QR Code localizado en Google
[Retocado para proteger la privacidad del usuario]

Pero claro, el tema es que, como lo que no se ve, para muchos no existe, lo que hay en el código QR no lo anonimiza nadie (ni tampoco lo cifran las compañías) y ahí está entre otras cosas el nombre y apellidos, los aeropuertos de origen y destino Y... el Código de Reserva (también impreso en el propio billete). El tema es que con toda esta información podemos ir a la web de reservas correspondiente y obtener más información acerca de la persona en cuestión y todos los que le acompañaron.

Figura 6: Datos personales de la reserva en la web de Check-in Online

A partir de aquí ya se puede elaborar un ataque de Spear Phishing empleando herramientas como SET con la intención de conseguir cualquier cosa que se nos ocurra, como por ejemplo el resto de dígitos de la tarjeta bancaria, sus claves de acceso registrado porque hay un problema con su programa de puntos o … deja aquí que tus maléficos pensamientos campen a sus anchas }:F. Eso sí, en el peor de los casos siempre podemos facturarle el asiento a la víctima en el asiento de cola al lado del baño.

Así luce la estructura de los billetes de vuelo, no sólo de esta compañía sino de cualquiera de las que he podido analizar con alguna pequeña diferencia. Para leer este código puedes usar Barcode scanners para Android, si tienes iOS busca alguno compatible con PDF 417.

Tras darme cuenta de esto me dirigí a la persona implicada para explicarle que esto de poner sus billetes de vuelo por Internet no era la mejor de las prácticas y que si quería dar envidia a alguien sin poner en riesgo otros aspectos de su vida personal, era mejor que subiese la típica foto del mojito, en cualquiera de sus variantes - con sombrilla, con la rodajita de limón, con menta, con lima o con la tan recurrida pajita de colores -, tras su vuelta a casa. Ya sabéis, por si a los amigos de lo ajeno les da por hacer uso de tu oversharing.

Un XSS Reflejado en un QR Code

Pero la lista de posibilidades de ataque no acaba ahí, ni mucho menos, pudiendo anotarse en la misma un extenso número de vulnerabilidades, como cualquier otra que se pueda provocar a través de la carga de una página web. Si el código QR nos está permitiendo incluir un enlace, a través de un acortador de URLs y redirecciones mediante etiquetas meta, nos podemos fabricar una forma ultrasencilla de aprovechar estos códigos sin que la víctima se percate.

Figura 8: Ataques realizables mediante QR Codes

Un ejemplo sencillo de ataque puede verse con este XSS Reflejado. Simplemente escanea este QR Code con tu lector favorito y ábrelo con Firefox en tu móvil. Recibirás el típico mensaje de alerta mostrando un 1, indicativo de que el XSS es explotable desde tu dispositivo.

Figura 9: QR Code con un XSS reflejado en una web.

Alguien te puede plantar un formulario de entrada exactamente igual que el de la página a la que supuestamente te redirige un determinado QR Code si ésta sufre de un HTML injection reflejado, redirigiéndote después a la original y quedándose por en medio con tus credenciales, con la ventaja de que la barra de navegación de tu teléfono móvil o trablet la inyección no la vas a ver debido a su reducido tamaño, al igual que ocurre con el XSS anterior. Ya se han hablado mucho de los problemas con los ataques Client-Side en los dispositivos móviles.

Más ideas para QR Code Attacks

Pero el número de posibilidades de ataque vía QR Code es amplio y crece cada día. Se puede forzar la descarga de aplicaciones maliciosas, o crear un código QR de acceso universal con ataques de inyección. Cualquier aplicación puede estar construyendo una consulta en línea sin hacer uso de prepared statements, lo que nos deja una puerta abierta a conseguir códigos QR mediante inyecciones SQL que sean siempre válidos para el acceso a nuestro evento favorito. Os dejo a vosotros que continuéis con la lista de ideas que yo intentaré implementarlas para la próxima charal que tenga la suerte de dar en alguna CON y así la liemos un rato escaneando códigos QR en vivo y en directo.

Salu3!

Autor: Miguel Ángel Hernández Ruiz
Twitter (@miguelangelher)