Seit Jahren schon gibt es auf Plakaten sogenannte QR-Codes, schwarz-weiße Quadrate mit verwirrend aussehenden pixelartigen Flecken. Die Bahn nutzt sie für ihre Online-Tickets. Inzwischen werden sie auch in Zeitschriften eingesetzt, um auf Netzinhalte aufmerksam zu machen. Höchste Zeit also, darauf hinzuweisen, dass diese Pixelraster wie jede Technik Gefahren bergen – mit ihrer Hilfe können zum Beispiel Smartphones gehackt werden.

QR-Codes – QR steht für quick response , schnelle Antwort – wurden schon 1994 entwickelt und sind eine Art gedruckter Link. Ihr Pixelraster ist nichts weiter als eine binäre Information (schwarz/weiß, an/aus), mit deren Hilfe Texte, Links oder auch Programmzeilen kodiert und übermittelt werden können. Die gleichen Programme, die Streifencodes auf Waren lesen und verstehen, sind meistens auch in der Lage, die quadratischen Datenpakete zu entschlüsseln.

Das System ist praktisch, um eine größere Menge Daten zu übermitteln, beispielsweise Kontaktinformationen. So kann auf einer Visitenkarte auch ein QR-Code stehen, jeder mit einem Scan-Programm kann die Daten einlesen und speichern. Der Vorteil: Es geht schneller, gerade bei Links. Einen solchen von Hand einzutippen, um eine Website aufrufen zu können, dauert sehr viel länger.

Entwickelt wurden die Pixelraster, damit der Autokonzern Toyota in seinen Werken Teile und Baugruppen automatisch erkennen und liefern konnte. Dann entdeckten Werber sie als Weg, um auf Plakaten zusätzliche Informationen zu vermitteln und Mobiltelefon-Nutzer auf eine Website zu locken. Inzwischen setzen auch viele Zeitungen QR-Codes ein, um ihre gedruckten Geschichten mit im Netz abrufbaren Inhalten zu ergänzen, beispielsweise seit Kurzem der Spiegel und auch der Stern .

Das Problem ist, dass die Leseprogramme einen gescannten Code "blind" ausführen, ihn also nicht prüfen. Auch kann der Nutzer vorher nicht erkennen, was der Code eigentlich enthält, will er das wissen, muss er ihn scannen. Bei QR-Codes gibt es keine Chance, den eigentlichen Inhalt vorher zu sehen. Im Gegensatz beispielsweise zu E-Mails mit verseuchten Links, die die URL preisgeben, wird die Maus auf sie gehalten. Angreifer können das nutzen, um das scannende Gerät anzugreifen.

Wege dazu gibt es vor allem zwei. Erstens über JavaScript: Eine der häufigsten Lücken, um Nutzer beim Surfen anzugreifen, ist inzwischen das sogenannte Cross-Site-Scripting . Dabei wird einem Server, beispielsweise von einer Bank, eine Codezeile untergeschoben. Sind bestimmte Bedingungen erfüllt , gibt der Bankserver die Codes ungeprüft an den Browser eines Nutzers weiter – wo sie ausgeführt werden und Probleme machen können.

Scanner besser sperren

Das funktioniert auch mit QR, kann in der Matrix doch auch JavaScript verschlüsselt werden. Das Mobiltelefon scannt den Code und das Scan-Programm führt ihn sofort aus. Das kann dazu führen, dass das Scan-Programm gekapert wird – oder auch gleich das ganze Smartphone – und dass sensible Informationen anderen zugänglich werden.

Zweitens über Links: Üblicherweise werden mit den Code-Quadraten Links verbreitet, beispielsweise zu einer Website mit weiteren Informationen zu dem Thema. So aber können Nutzer auch auf Phishing-Seiten gelenkt werden, die zwar aussehen wie eine echte Bank-Website, aber nur dazu dienen, Account-Daten zu stehlen . Oder die Seite wurde so gebaut, dass sie wie ein Onlineshop aussieht. Der arglose Nutzer bestellt eine Ware und bezahlt, bekommt aber nie etwas geliefert, da er nicht bei dem eigentlichen Anbieter bestellte, sondern bei einem Betrüger.

Auch kann die aufgerufene Website so konfiguriert sein, dass sie das Gerät bewegt, bestimmte Informationen herauszurücken . Die können genutzt werden, um mit Hilfe von entsprechenden Programmen das Mobiltelefon zu kapern.

Selbstverständlich gibt es gegen diese Angriffe eine Verteidigung. Das benutzte Scan-Programm sollte so eingestellt sein, dass es die codierten Inhalte nicht ohne zu fragen ausführt, also beispielsweise nicht sofort die Website aufruft, deren Link sich in dem Muster verbarg. Leider ist das längst nicht bei allen Scannern standardmäßig der Fall.