Android 12 & Google Kamera: QR-Code-Scanner macht Probleme; verfälschte URLs werden zur Sicherheitslücke

android 

Praktisch alle Smartphone-Nutzer haben in nur wenigen Schritten die Möglichkeit, QR-Codes zu scannen und die darin enthaltenen Informationen auszulesen. Oftmals handelt es sich dabei um URLs, die zu einem eindeutigen Ziel führen sollten – aber nicht in Googles Universum. Tatsächlich kann das Scannen von QR-Codes mit der Google Kamera unter Android 12 zum Sicherheitsrisiko werden – und das vollkommen unnötig.


android 12 statue 4

Wir haben bereits darüber berichtet, dass der in der Google Kamera-App integrierte QR-Code-Scanner unter Android 12 zu Problemen führen kann. Betroffen ist die vor allem unter Pixel-Nutzern nicht ganz seltene Kombination aus Android 12, Google Kamera und aktivierter Google Lens-Erkennung. Nutzt ihr hingegen Android 11, tritt das Problem nicht auf. Nutzt ihr die eigenständige Google Lens-Kamera, seid ihr ebenfalls vor dem aktuellen Problem geschützt.

Konkret geht es darum, dass der QR-Code-Scanner URLs verfälscht und die vermeintlich darin enthaltenen Fehler korrigieren will. Das Problem daran ist, dass es keine Fehler gibt und die Korrektur erst zum Fehler führt. So wird aus einer der neuen Top-Level-Domains wie etwa .apple plötzlich .app. Aus .cat wird .ca und aus der harmlosen Domain fooco.at wird foo.co.at. Das ist einerseits für den Ersteller und den Scanner ärgerlich, kann aber auch sehr schnell zum Sicherheitsrisiko werden. Mehr Beispiele findet ihr in diesem Artikel.

Eine potenzielle Sicherheitslücke
Weil QR-Codes heute auf vielen Produkten oder auch in der Werbung zu finden sind, könnten sich böse Buben auf die Suche nach möglichen Angriffszielen machen. So ist etwa ein Fall bekannt, bei dem eine beworbene Jobanzeige mit QR-Code ins Leere läuft, weil das Unternehmen eine Domain wie fooco.at besitzt, die von Googles Scanner auf foo.co.at weiterleitet. Angreifer müssen also nur die nicht-existente URL registrieren und schon „fangen“ sie Nutzer, die die vermeintlich vertrauenswürdige Seite ihre Daten anvertrauen. Kaum auszudenken, wenn das etwa bei meinebankco.at passieren würde.




Es ist keine Sicherheitslücke im Google-Produkt, schafft aber eine unnötige Gefahrenquelle. Man muss sich fragen, warum die Algorithmen überhaupt die Informationen in den QR-Codes ausbessern wollen. Der Code ist eindeutig und Lesefehler sind aufgrund vieler Checksummen in den Codes eher selten. Kurios ist vor allem, dass die Lens-Funktion in der Kamera-App Schuld ist, die eigenständige Lens-App dieses Problem aber nicht aufweist.

Vermutet wird, dass es sich um eine automatische Korrektur aus den Google Chrome-Sourcen handelt, die unter anderem zur umstrittenen Kürzung der URLs in der Adressleiste zum Einsatz kommt. Allerdings ist aus Chrome nicht bekannt, dass das so schlecht funktioniert und viele Fehler einbaut. Da muss intern etwas schiefgelaufen sein, dass die Heise-Redakteure – die das Ganze entdeckt haben – über einen längeren Zeitraum nachverfolgen konnten.

Google wäre wohl gut beraten, diese Korrektur schnellstmöglich zu deaktivieren und diese aus dem QR-Code-Leser zu entfernen. Wenn schon eine fehlerhafte URL korrigiert werden muss, sollte man das doch besser dem Browser überlassen. Bei diesem ist es die Kernkompetenz und hat sicherlich deutlich mehr Schutzfunktionen als ein simpler QR-Code-Leser. Aber es zeigt sich wieder einmal, dass Googles Entwickler es sich oftmals leicht machen und auf die vermeintlich schlauen Algorithmen verlassen…

» Android 12: Googles QR-Code-Scanner verfälscht URLs; Sicherheitslücke in Google Kamera & Google Lens

[heise]




Teile diesen Artikel:

Facebook twitter Pocket Pocket

comment 2 Kommentare zum Thema "Android 12 & Google Kamera: QR-Code-Scanner macht Probleme; verfälschte URLs werden zur Sicherheitslücke"

Kommentare sind geschlossen.