Android 12 & Google Kamera: QR-Code-Scanner macht Probleme; verfälschte URLs werden zur Sicherheitslücke
Praktisch alle Smartphone-Nutzer haben in nur wenigen Schritten die Möglichkeit, QR-Codes zu scannen und die darin enthaltenen Informationen auszulesen. Oftmals handelt es sich dabei um URLs, die zu einem eindeutigen Ziel führen sollten – aber nicht in Googles Universum. Tatsächlich kann das Scannen von QR-Codes mit der Google Kamera unter Android 12 zum Sicherheitsrisiko werden – und das vollkommen unnötig.
Wir haben bereits darüber berichtet, dass der in der Google Kamera-App integrierte QR-Code-Scanner unter Android 12 zu Problemen führen kann. Betroffen ist die vor allem unter Pixel-Nutzern nicht ganz seltene Kombination aus Android 12, Google Kamera und aktivierter Google Lens-Erkennung. Nutzt ihr hingegen Android 11, tritt das Problem nicht auf. Nutzt ihr die eigenständige Google Lens-Kamera, seid ihr ebenfalls vor dem aktuellen Problem geschützt.
Konkret geht es darum, dass der QR-Code-Scanner URLs verfälscht und die vermeintlich darin enthaltenen Fehler korrigieren will. Das Problem daran ist, dass es keine Fehler gibt und die Korrektur erst zum Fehler führt. So wird aus einer der neuen Top-Level-Domains wie etwa .apple plötzlich .app. Aus .cat wird .ca und aus der harmlosen Domain fooco.at wird foo.co.at. Das ist einerseits für den Ersteller und den Scanner ärgerlich, kann aber auch sehr schnell zum Sicherheitsrisiko werden. Mehr Beispiele findet ihr in diesem Artikel.
Eine potenzielle Sicherheitslücke
Weil QR-Codes heute auf vielen Produkten oder auch in der Werbung zu finden sind, könnten sich böse Buben auf die Suche nach möglichen Angriffszielen machen. So ist etwa ein Fall bekannt, bei dem eine beworbene Jobanzeige mit QR-Code ins Leere läuft, weil das Unternehmen eine Domain wie fooco.at besitzt, die von Googles Scanner auf foo.co.at weiterleitet. Angreifer müssen also nur die nicht-existente URL registrieren und schon „fangen“ sie Nutzer, die die vermeintlich vertrauenswürdige Seite ihre Daten anvertrauen. Kaum auszudenken, wenn das etwa bei meinebankco.at passieren würde.
Es ist keine Sicherheitslücke im Google-Produkt, schafft aber eine unnötige Gefahrenquelle. Man muss sich fragen, warum die Algorithmen überhaupt die Informationen in den QR-Codes ausbessern wollen. Der Code ist eindeutig und Lesefehler sind aufgrund vieler Checksummen in den Codes eher selten. Kurios ist vor allem, dass die Lens-Funktion in der Kamera-App Schuld ist, die eigenständige Lens-App dieses Problem aber nicht aufweist.
Vermutet wird, dass es sich um eine automatische Korrektur aus den Google Chrome-Sourcen handelt, die unter anderem zur umstrittenen Kürzung der URLs in der Adressleiste zum Einsatz kommt. Allerdings ist aus Chrome nicht bekannt, dass das so schlecht funktioniert und viele Fehler einbaut. Da muss intern etwas schiefgelaufen sein, dass die Heise-Redakteure – die das Ganze entdeckt haben – über einen längeren Zeitraum nachverfolgen konnten.
Google wäre wohl gut beraten, diese Korrektur schnellstmöglich zu deaktivieren und diese aus dem QR-Code-Leser zu entfernen. Wenn schon eine fehlerhafte URL korrigiert werden muss, sollte man das doch besser dem Browser überlassen. Bei diesem ist es die Kernkompetenz und hat sicherlich deutlich mehr Schutzfunktionen als ein simpler QR-Code-Leser. Aber es zeigt sich wieder einmal, dass Googles Entwickler es sich oftmals leicht machen und auf die vermeintlich schlauen Algorithmen verlassen…
» Android 12: Googles QR-Code-Scanner verfälscht URLs; Sicherheitslücke in Google Kamera & Google Lens
[heise]
GoogleWatchBlog bei Google News abonnieren | GoogleWatchBlog-Newsletter
Google hat heute ein Update für die Kamera-App ausgeliefert. Das Update beseitigt den Fehler
Fehler können passieren, aber was schlimmer ist die wollten das erst nicht patchen. Erste nachdem Heise Security das publik gemacht hat sind die aufgewacht. Und es betrifft ja nicht nur Android 12 und Pixel Geräte sondern auch andere mit Android 12 und auch 11.
https://www.heise.de/hintergrund/Mehr-Fehler-mit-QR-Codes-auch-bei-OnePlus-Google-bietet-Pixel-Update-6335791.html