QRLJacking劫持基于二维码的快速登录系统的黑客技术

它是SQRL，或安全快速响应登录，这是一种基于二维码的认证系统，用户无需记忆或键入任何用户名或密码即可快速登录网站。

二维码是二维条形码，包含大量信息，如共享密钥或会话cookie。

一个实施基于二维码认证系统的网站会在电脑屏幕上显示二维码，任何想要登录的人都会用手机应用程序扫描二维码。

一旦扫描完毕，该网站将让用户登录，而无需输入任何用户名或密码。

由于密码可以通过键盘记录器、中间人（MitM）攻击，甚至暴力攻击来窃取，二维码被认为是安全的，因为它随机生成一个密码，而不会泄露给任何人。

但是，当黑客受到激励时，没有哪项技术能够免受黑客攻击。

QRLJacking：劫持基于二维码的登录系统

埃及信息安全研究员、Seekurity Inc.的网络安全顾问穆罕默德·阿卜杜勒巴塞特·埃尔努比（Mohamed Abdelbasset Elnouby）提出了一个概念证明，展示了一种新的会话劫持技术，可用于从使用“二维码登录”功能作为安全登录账户方式的服务中入侵账户。

QRLJacking（或快速响应代码登录劫持），该技术是“简单但恶劣的攻击载体”这会影响所有依赖二维码登录功能的应用程序。

攻击者只需说服受害者扫描攻击者的二维码。

以下是QRLJacking技术的工作原理：

穆罕默德通过Skype向我解释了QRL劫持攻击的完整工作过程，以及现场演示。以下是攻击的工作原理：

1. 攻击者初始化客户端QR会话，并将登录QR码克隆到网络钓鱼页面。
2. 然后，攻击者将网络钓鱼页面发送给受害者。
3. 如果被说服，受害者会用特定的目标手机应用程序扫描二维码。
4. 移动应用程序将秘密令牌发送到目标服务以完成身份验证过程。
5. 结果，初始化客户端QR会话的攻击者获得了对受害者帐户的控制权。
6. 然后，该服务开始与攻击者的浏览器会话交换受害者的所有数据。

因此，要成功实施QRL劫持攻击，攻击者需要：

• 二维码刷新脚本。
• 精心打造的网络钓鱼网页。

"攻击者需要编写一个脚本，定期克隆过期的QR码，并刷新他们创建的钓鱼网站上显示的QR码，以初始化成功的QRL劫持攻击，因为我们知道，一个实施良好的QR登录过程应该对QR码有一个过期间隔，“解释是这样的。

成功的QRL劫持攻击使攻击者能够在易受攻击的基于QR码的登录服务上应用完整帐户劫持场景，从而导致帐户劫持和其他信息，如受害者的准确当前GPS位置、设备IMEI号、，SIM卡数据和客户端应用程序在登录过程中显示的其他敏感数据。