Seit Jahren schon gibt es auf Plakaten sogenannte QR-Codes, schwarz-weiße Quadrate mit verwirrend aussehenden pixelartigen Flecken. Die Bahn nutzt sie für ihre Online-Tickets. Inzwischen werden sie auch in Zeitschriften eingesetzt, um auf Netzinhalte aufmerksam zu machen. Höchste Zeit also, darauf hinzuweisen, dass diese Pixelraster wie jede Technik Gefahren bergen – mit ihrer Hilfe können zum Beispiel Smartphones gehackt werden.

QR-Codes – QR steht für quick response , schnelle Antwort – wurden schon 1994 entwickelt und sind eine Art gedruckter Link. Ihr Pixelraster ist nichts weiter als eine binäre Information (schwarz/weiß, an/aus), mit deren Hilfe Texte, Links oder auch Programmzeilen kodiert und übermittelt werden können. Die gleichen Programme, die Streifencodes auf Waren lesen und verstehen, sind meistens auch in der Lage, die quadratischen Datenpakete zu entschlüsseln.

Das System ist praktisch, um eine größere Menge Daten zu übermitteln, beispielsweise Kontaktinformationen. So kann auf einer Visitenkarte auch ein QR-Code stehen, jeder mit einem Scan-Programm kann die Daten einlesen und speichern. Der Vorteil: Es geht schneller, gerade bei Links. Einen solchen von Hand einzutippen, um eine Website aufrufen zu können, dauert sehr viel länger.

Entwickelt wurden die Pixelraster, damit der Autokonzern Toyota in seinen Werken Teile und Baugruppen automatisch erkennen und liefern konnte. Dann entdeckten Werber sie als Weg, um auf Plakaten zusätzliche Informationen zu vermitteln und Mobiltelefon-Nutzer auf eine Website zu locken. Inzwischen setzen auch viele Zeitungen QR-Codes ein, um ihre gedruckten Geschichten mit im Netz abrufbaren Inhalten zu ergänzen, beispielsweise seit Kurzem der Spiegel und auch der Stern .

Das Problem ist, dass die Leseprogramme einen gescannten Code "blind" ausführen, ihn also nicht prüfen. Auch kann der Nutzer vorher nicht erkennen, was der Code eigentlich enthält, will er das wissen, muss er ihn scannen. Bei QR-Codes gibt es keine Chance, den eigentlichen Inhalt vorher zu sehen. Im Gegensatz beispielsweise zu E-Mails mit verseuchten Links, die die URL preisgeben, wird die Maus auf sie gehalten. Angreifer können das nutzen, um das scannende Gerät anzugreifen.

Wege dazu gibt es vor allem zwei. Erstens über JavaScript: Eine der häufigsten Lücken, um Nutzer beim Surfen anzugreifen, ist inzwischen das sogenannte Cross-Site-Scripting . Dabei wird einem Server, beispielsweise von einer Bank, eine Codezeile untergeschoben. Sind bestimmte Bedingungen erfüllt , gibt der Bankserver die Codes ungeprüft an den Browser eines Nutzers weiter – wo sie ausgeführt werden und Probleme machen können.