Cómo hackear celulares usando códigos QR maliciosos

Hoy en día encontramos códigos QR en todas partes, ya sea en nuestras compras de comestibles hasta para hacer pagos e incluso como otro método para iniciar sesión en nuestras cuentas en línea. Según los investigadores de hacking ético del Instituto Internacional de Seguridad Cibernética (IICS), los códigos QR también pueden ser una gran amenaza si se usan sin saber cómo.

WhatsApp Web es muy popular entre
los usuarios. Recientemente hemos mostrado cómo se puede utilizar QRLJacking
para acceder a cualquier cuenta de WhatsApp.
Ahora, le mostraremos otra herramienta utilizada para crear códigos QRL
maliciosos con algunas cargas útiles conocidas.

QRLGEN se utiliza para generar
códigos QRL genéricos mal formados, mencionan los expertos en hacking ético. Es
útil al probar los escáneres de códigos QRL o cómo las aplicaciones manejan los
datos del código QRL. La lista de palabras personalizada también se usa para
crear códigos QRL.

Para las pruebas, usaremos Kali Linux 2019.1
amd64
Antes de instalar la herramienta, debe
asegurarse de que python3 esté instalado
Para instalar, escriba sudo apt-get update && sudo
apt-get install python3
Luego instale sudo apt-get install python3-pip
Escriba git clone https://github.com/h0nus/QRGen.git

root@kali:~/Downloads# git clone https://github.com/h0nus/QRGen.git
 Cloning into 'QRGen'…
 remote: Enumerating objects: 86, done.
 remote: Counting objects: 100% (86/86), done.
 remote: Compressing objects: 100% (78/78), done.
 remote: Total 86 (delta 26), reused 4 (delta 1), pack-reused 0
 Unpacking objects: 100% (86/86), done.

Escriba cd QRGen y escriba ls

root@kali:~/Downloads# cd QRGen/
 root@kali:~/Downloads/QRGen#
 root@kali:~/Downloads/QRGen# ls
 demo.gif  qrgen.py  README.md  requirements.txt  words

Escriba pip3 install -r requirements.txt

root@kali:~/Downloads/QRGen# pip3 install -r requirements.txt
 Collecting qrcode (from -r requirements.txt (line 1))
   Downloading https://files.pythonhosted.org/packages/42/87/4a3a77e59ab7493d64da1f69bf1c2e899a4cf81e51b2baa855e8cc8115be/qrcode-6.1-py2.py3-none-any.whl
 Requirement already satisfied: Pillow in /usr/lib/python3/dist-packages (from -r requirements.txt (line 2)) (5.3.0)
 Collecting argparse (from -r requirements.txt (line 3))
   Downloading https://files.pythonhosted.org/packages/f2/94/3af39d34be01a24a6e65433d19e107099374224905f1e0cc6bbe1fd22a2f/argparse-1.4.0-py2.py3-none-any.whl
 Requirement already satisfied: six in /usr/lib/python3/dist-packages (from qrcode-&gt;-r requirements.txt (line 1)) (1.12.0)
 Installing collected packages: qrcode, argparse
 Successfully installed argparse-1.4.0 qrcode-6.1

root@kali:~/Downloads/QRGen# python3 qrgen.py

  e88 88e   888 88e    e88'Y88
 d888 888b  888 888D  d888  'Y   ,e e,  888 8e
C8888 8888D 888 88"  C8888 eeee d88 88b 888 88b
 Y888 888P  888 b,    Y888 888P 888   , 888 888
  "88 88"   888 88b,   "88 88"   "YeeP" 888 888
      b
      8b,    QRGen ~ v0.1 ~ by h0nus
usage: qrgen.py -l [number]
 usage: qrgen.py -w [/path/to/custom/wordlist]
 Payload lists:
 0 : SQL Injections
 1 : XSS
 2 : Command Injection
 3 : Format String
 4 : XXE
 5 : String Fuzzing
 6 : SSI Injection
 7 : LFI / Directory Traversal
 Tool to generate Malformed QRCodes for fuzzing QRCode parsers/reader
 optional arguments:
   -h, --help            show this help message and exit
 Options for QRGen:
   --list {0,1,2,3,4,5,6,7}, -l {0,1,2,3,4,5,6,7}
                         Set wordlist to use
   --wordlist WORDLIST, -w WORDLIST
                         Use a custom wordlist
 Pay attention everywhere, even in the dumbest spot

Escriba python3 qrgen.py –list 1

root@kali:~/Downloads/QRGen# python3 qrgen.py --list 1

  e88 88e   888 88e    e88'Y88
 d888 888b  888 888D  d888  'Y   ,e e,  888 8e
C8888 8888D 888 88"  C8888 eeee d88 88b 888 88b
 Y888 888P  888 b,    Y888 888P 888   , 888 888
  "88 88"   888 88b,   "88 88"   "YeeP" 888 888
      b
      8b,    QRGen ~ v0.1 ~ by h0nus
Payload path exist, continuing…
Path already cleared or deleted..
Generated 113 payloads!
Opening last generated payload…
Thanks for using QRGen, made by H0nus..
root@kali:~/Downloads/QRGen#

La consulta anterior ha generado un código QRL
con formato incorrecto. Este código QRL se puede usar para manejar datos de
código QRL
Podemos usar cualquier aplicación de lectura de
QR en el móvil para probar códigos QR maliciosos, como se muestra a
continuación en el video:

También podemos leer el código QR usando un lector de código QRL en línea
https://webqr.com/index.html se usa para descifrar el código QRL
Encontramos código XSS en el código QRL

El código anterior relaciona los ataques XSS
mostrando una alerta. Cuando un usuario intenta hacer clic con el botón derecho
del mouse, se mostrará un mensaje de alerta
Puede crear más códigos QRL malformados con
otras cargas útiles. QRLGEN utiliza imágenes pre almacenadas para generar
código QRL mal formado, mencionan los especialistas en hacking ético de IICS.

Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en programas de recompensas, protección de datos y la seguridad de datos. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.

Fuente

Cómo hackear celulares usando códigos QR maliciosos

Web scraping

¿Qué Es el Web Scraping? Cómo Extraer Legalmente el Contenido de la Web

Campaña contra el Scam y el Phishing con más de 3 mil dominios activos y 6 mil registrados

Deja una respuesta Cancelar la respuesta

Quieres Contactarnos

Más historias

Web scraping

¿Qué Es el Web Scraping? Cómo Extraer Legalmente el Contenido de la Web

Campaña contra el Scam y el Phishing con más de 3 mil dominios activos y 6 mil registrados

Deja una respuesta Cancelar la respuesta

Quieres Contactarnos