A research on the QR code security awareness in Ankara

Yıl 2020, Cilt 11, Sayı 2, 113 - 129, 29.12.2020

Mert Ogün BİLİR Esma ERGÜNER ÖZKOÇ

https://doi.org/10.34231/iuyd.763399

Öz

The QR codes (Quick Response Code), which were first used in the production area in 1994, have spread too many areas of life (marketing, advertising, object identification, product tracking, etc.) with the use of mobile devices as QR code scanners. Despite the increasing popularity of QR codes, (i) does not create any perceptions of vulnerabilities among users and on the contrary, arouses curiosity (ii) the amount of data in the QR code is considerable (sufficient to execute attacks), making the QR code a target for attacks. There are many security issues and risks such as malicious code execution, redirection to unsafe web addresses and violation of user privacy. In this study, attacks on QR code and countermeasures are presented. In this study, a social experiment was conducted in Ankara province in order to determine the level of awareness of individuals about possible security weaknesses of QR Codes in social life and the problems to be created. The young generation, who follows the technology and adapts quickly to new technologies, has been selected as the target audience and three different QR Codes (Plain, Instructional, and Illustrated) have been designed and posters have been prepared. Data obtained from an online questionnaire where scanners of QR Code posters are directed demonstrates that the motivation of users to scan QR Code posters that do not contain any information was mainly due to curiosity and it was concluded that the target audience had a lack of knowledge about potential threats and ways to protect themselves.

Anahtar Kelimeler

QR Codes, Security, Malware, Phishing Attacks, Mobile Device

QR kod güvenlik farkındalığı üzerine Ankara ilinde bir araştırma

Öz

İlk olarak 1994 yılında üretim alanında kullanılmaya başlayan QR kodlar (Quick Response Code - Kare Kod) günümüzde mobil cihazların QR kod okuyucu olarak kullanımı ile hayatın birçok alanına (pazarlama, reklam, nesne tanımlama, ürün izleme vb.) yayılmıştır. Popülaritesi gün geçtikçe artan QR kodların bu denli sık kullanımına karşın, (i) kullanıcılar arasında herhangi bir güvenlik açığı algısı yaratmaması ve aksine merak uyandırması, (ii) QR koda kaydedilebilen veri miktarının azımsanmayacak kadar fazla (saldırı düzenlemek için yeterli) olması QR kodu saldırılara hedef haline getirmiştir. Zararlı kod çalıştırılması, güvenli olmayan web adreslerine yönlendirme, kullanıcıların gizliliğinin ihlal edilmesi gibi birçok güvenlik problemi ve riski mevcuttur. Bu çalışmada toplumsal yaşamda bireylerin QR kodların olası güvenlik zafiyetleri ve yaratacağı sorunlar hakkındaki farkındalık seviyelerinin tespit edilmesi üzerine Ankara ilinde bir sosyal deney yapılmıştır. Teknolojiyi takip eden ve yeni teknolojilere hızlı adapte olan genç nesil hedef kitle olarak seçilmiş, üç farklı QR kod (Sade, Talimatlı, Resimli) tasarlanarak afişler hazırlanmıştır. QR kod afişlerini taratanların yönlendirildiği çevrim içi anketten elde edilen veriler, kullanıcıların herhangi bir bilgi içermeyen QR kod afişlerini taratma motivasyonlarının esas olarak merak duygusundan ileri geldiğini göstermiş ve hedef kitlenin potansiyel tehditler ve kendilerini koruma yolları hakkında bilgi eksikliğine sahip oldukları sonucuna varılmıştır.

Anahtar Kelimeler

QR Kod, Güvenlik, Kötü Amaçlı Yazılım, Kimlik Avı Saldırıları, Mobil Cihaz

Kaynakça

• Ahuja, S. (2014). QR Codes And Security Concerns. International Journal of Computer Science and Information Technologies, 5(3), 3878-3879.
• Alnajjar A. Y., Anbar M., Manickam S., Elejla O., ve El-Taj H., (2016) . QRphish: An Automated QR Code Phishing Detection Approach. Journal Of Engineering And Applied Sciences, 11(3), 553-560, doi: 10.3923/jeasci.2016.553.560.
• Al-Khalifa, H. S. (2008, July). Utilizing QR Code and Mobile Phones for Blinds and Visually Impaired People. In International Conference on Computers for Handicapped Persons (pp. 1065-1069). Springer, Berlin, Heidelberg.
• Bani-Hani, R. M., Wahsheh, Y. A., & Al-Sarhan, M. B. (2014, November). Secure QR Code System. In 2014 10th International Conference on Innovations in Information Technology (IIT) (pp. 1-6). IEEE.
• DHA, (2017). Kod Yöntemiyle Dolandırıcılık Yapan Zanlı Tutuklandı. Hürriyet Gazetecilik ve Matbaacılık A.Ş. [Çevrimiçi]. Erişim Adresi: http://www.hurriyet.com.tr/kod-yontemiyle-dolandiricilik-yapan-zanli-tutuk-40557306. Erişim Tarihi: 10.11.2019.
• Elçi, A. (2014). İş Ekipmanlarında Güvenlik Takibi İçin Bir Sistem Önerisi Karekod Barkod Uygulama. Yüksek lisans tezi, İş Sağlığı ve Güvenliği Bölümü, Sağlık Bilimleri Enstitüsü, İstanbul Yeni Yüzyıl Üniversitesi, İstanbul, Türkiye.
• Erdal, E. (2018). Çin Dolandırıcılığı Önlemek için QR Kod Ödemelerini Durduruyor İndirilme Tarihi: 01.10.2019 URL: https://www.webtekno.com/cin-dolandiriciligi-onlemek-icin-qr-kod-odemelerini-durduruyor-h38598.html.
• Göksel, B. ve Başaran, A. (2016). QR-Code’daki Olta Bir Farkındalık Deneyi ve Qr Kodların Sosyal Mühendislik Saldırılarında Kullanılması. İndirilme Tarihi: 10.01.2020 URL: https://www.slideshare.net/AlperBasaran/qr-codelardaki-tehlike Rapor
• Juniper Research (2018). Mobile Qr Code Coupon Redemptions to Surge, Surpassing 5.3 Billion By 2022. İndirilme Tarihi: 10.01.2020. URL: https://www.juniperresearch.com/press/press-releases/mobile-qr-code-coupon-redemptions-to-surge
• Kapsalis, I. (2013). Security of QR Codes. Yüksek lisans tezi, Security and Mobile Computing, Department of Telematics, Norwegian University of Science and Technology, Trondheim, Norveç.
• Kieseberg, P., Leithner, M., Mulazzani, M., Munroe, L., Schrittwieser, S., Sinha, M., & Weippl, E. (2010, November). QR code security. In Proceedings of the 8th International Conference on Advances in Mobile Computing and Multimedia (pp. 430-435).
• Koygun, P. Ç. (2018). Dolandırıcılıkta Yeni Yöntem QR Kod. CNNTurk. İndirilme Tarihi: 10.11.2019 URL:https://www.cnnturk.com/video/turkiye/dolandiricilikta-yeni-yontem-qr-kod.
• Krombholz, K., Frühwirt, P., Kieseberg, P., Kapsalis, I., Huber, M., & Weippl, E. (2014, June). QR code security: A Survey of Attacks and Challenges for Usable Security. In International Conference on Human Aspects of Information Security, Privacy, and Trust (pp. 79-90). Springer, Cham.
• Lin, S. S., Hu, M. C., Lee, C. H., & Lee, T. Y. (2015). Efficient QR Code Beautification with High Quality Visual Content. IEEE Transactions on Multimedia, 17(9), 1515-1524.
• Moharil, B., Ghadge, V., Gokhale, C., & Tambvekar, P. (2012). An Efficient Approach for Automatic Number Plate Recognition System Using Quick Response Codes. IJCSIT, 3(0975-9646), 5108-5115.
• Polat, Z. A. (2014). Karekod Teknolojisinin Mesleğimizdeki Olası Kullanımları Üzerine Düşünceler. V. Uzaktan Algılama-CBS Sempozyumu (UZAL-CBS 2014), İstanbul, Türkiye, 1-8.
• Sharma, V. (2012). A Study of Malicious QR Codes. International Journal of Computational Intelligence and Information Security, 3(5), 21-26.
• Top, T. (2012). Tribünde barkod pankart açanlar aranıyor. Milliyet Gazetecilik ve Yayıncılık A.Ş., [Çevrimiçi]. Erişim Adresi: http://www.milliyet.com.tr/skorer/tribunde-barkod-pankart-acanlar-araniyor-1496180 Erişim Tarihi: 10.11.2019.
• Ulevitch, D., “Phistank (OpenDNS)”, (2006). İndirilme Tarihi: 17.10.2019 URL: https://www.phishtank.com/.
• Vidas, T., Owusu, E., Wang, S., Zeng, C., Cranor, L. F., & Christin, N. (2013, April). QRishing: The Susceptibility of Smartphone Users to QR Code Phishing Attacks. In International Conference on Financial Cryptography and Data Security (pp. 52-69). Springer, Berlin, Heidelberg.
• Wane, A. R., Jamankar, S. P., & Chandure, O. V. (2013). An Effective Mechanism for Ensuring Security Of QR Code. International Journal of Advanced Research in Computer Science, 4(6), 175-179.
• Yin, L. R., Senior, M., Zhang, Z., & Baldwin, N. (2013, June). Perceived security risks of scanning quick response (QR) codes in mobile computing with smart phones. In 2013 International Conference on Engineering, Management Science and Innovation (ICEMSI) (pp. 1-7). IEEE.