Como os códigos QR funcionam e o que os torna perigosos:um cientista da computação explica
A anatomia do código QR:dados (1), marcadores de posição (2), zona silenciosa (3) e logotipos opcionais (4). Crédito:Scott Ruoti, CC BY-ND
Entre as muitas mudanças trazidas pela pandemia está o uso generalizado de códigos QR, representações gráficas de dados digitais que podem ser impressos e posteriormente digitalizados por um smartphone ou outro dispositivo.
Os códigos QR têm uma ampla gama de usos que ajudam as pessoas a evitar o contato com objetos e interações próximas com outras pessoas, inclusive para compartilhar menus de restaurantes, inscrições em listas de e-mail, informações de vendas de carros e casas e check-in e check-out de consultas médicas e profissionais .
Os códigos QR são um primo próximo dos códigos de barras nas embalagens dos produtos que os caixas digitalizam com scanners infravermelhos para informar ao computador do caixa quais produtos estão sendo comprados.
Os códigos de barras armazenam informações ao longo de um eixo, horizontalmente. Os códigos QR armazenam informações nos eixos vertical e horizontal, o que lhes permite armazenar significativamente mais dados. Essa quantidade extra de dados é o que torna os códigos QR tão versáteis.
Anatomia de um código QR Embora seja fácil para as pessoas lerem algarismos arábicos, é difícil para um computador. Os códigos de barras codificam dados alfanuméricos como uma série de linhas pretas e brancas de várias larguras. Na loja, os códigos de barras registram o conjunto de números que especificam o ID de um produto. Criticamente, os dados armazenados em códigos de barras são redundantes. Mesmo que parte do código de barras seja destruído ou obscurecido, ainda é possível que um dispositivo leia o ID do produto.
Os códigos QR são projetados para serem digitalizados usando uma câmera, como as encontradas em seu smartphone. A digitalização de código QR está integrada em muitos aplicativos de câmera para Android e iOS. Os códigos QR são usados com mais frequência para armazenar links da web; no entanto, eles podem armazenar dados arbitrários, como texto ou imagens.
Quando você digitaliza um código QR, o leitor de QR na câmera do telefone decifra o código e as informações resultantes acionam uma ação no telefone. Se o código QR contiver um URL, seu telefone apresentará o URL. Toque nele e o navegador padrão do seu telefone abrirá a página da web.
Os códigos QR são compostos por várias partes:dados, marcadores de posição, zona silenciosa e logotipos opcionais.
Os dados em um código QR são uma série de pontos em uma grade quadrada. Cada ponto representa um um e cada branco um zero em código binário, e os padrões codificam conjuntos de números, letras ou ambos, incluindo URLs. Na menor, essa grade tem 21 linhas por 21 colunas e, na maior, 177 linhas por 177 colunas. Na maioria dos casos, os códigos QR usam quadrados pretos em um fundo branco, facilitando a distinção dos pontos. No entanto, este não é um requisito estrito, e os códigos QR podem usar qualquer cor ou forma para os pontos e o plano de fundo.
Os marcadores de posição são quadrados colocados nos cantos superior esquerdo, superior direito e inferior esquerdo de um código QR. Esses marcadores permitem que uma câmera de smartphone ou outro dispositivo oriente o código QR ao digitalizá-lo. Os códigos QR são cercados por um espaço em branco, a zona silenciosa, para ajudar o computador a determinar onde o código QR começa e termina. Os códigos QR podem incluir um logotipo opcional no meio.
Assim como os códigos de barras, os códigos QR são projetados com redundância de dados. Mesmo que até 30% do código QR seja destruído ou difícil de ler, os dados ainda podem ser recuperados. Na verdade, os logotipos não fazem parte do código QR; eles encobrem alguns dos dados do código QR. No entanto, devido à redundância do código QR, os dados representados por esses pontos ausentes podem ser recuperados observando os pontos visíveis restantes.
Os códigos QR são perigosos? Os códigos QR não são inerentemente perigosos. Eles são simplesmente uma maneira de armazenar dados. No entanto, assim como pode ser perigoso clicar em links em e-mails, visitar URLs armazenados em códigos QR também pode ser arriscado de várias maneiras.
O URL do código QR pode levá-lo a um site de phishing que tenta induzi-lo a digitar seu nome de usuário ou senha para outro site. O URL pode levá-lo a um site legítimo e induzi-lo a fazer algo prejudicial, como dar a um invasor acesso à sua conta. Embora esse ataque exija uma falha no site que você está visitando, essas vulnerabilidades são comuns na Internet. O URL pode levá-lo a um site malicioso que engana outro site no qual você está conectado no mesmo dispositivo para realizar uma ação não autorizada.
Um URL malicioso pode abrir um aplicativo no seu dispositivo e fazer com que ele execute alguma ação. Talvez você tenha visto esse comportamento quando clicou em um link do Zoom e o aplicativo Zoom abriu e ingressou automaticamente em uma reunião. Embora esse comportamento seja normalmente benigno, um invasor pode usar isso para induzir alguns aplicativos a revelar seus dados.
É fundamental que, ao abrir um link em um código QR, você garanta que o URL seja seguro e venha de uma fonte confiável. Só porque o código QR tem um logotipo que você reconhece não significa que você deve clicar no URL que ele contém.
Há também uma pequena chance de que o aplicativo usado para escanear o código QR possa conter uma vulnerabilidade que permite que códigos QR maliciosos tomem conta do seu dispositivo. Esse ataque seria bem-sucedido apenas digitalizando o código QR, mesmo que você não clicasse no link armazenado nele. Para evitar essa ameaça, você deve usar aplicativos confiáveis fornecidos pelo fabricante do dispositivo para escanear códigos QR e evitar o download de aplicativos de código QR personalizados.