QRLJacking - A New Social
Engineering Attack Vector
¿Qué es QRLJacking?
QRLJacking o Quick Response Code Login Jacking es un simple vector de ataque de ingeniería social capaz de secuestro de sesión que afecta a todas las aplicaciones que dependen de la función "Iniciar sesión con código QR" como una forma segura de iniciar sesión en las cuentas.En pocas palabras, la víctima escanea el código QR del atacante, lo que resulta en el secuestro de la sesión.
Instalación:
clonar el repositorio: https://github.com/OWASP/QRLJacking.git entra a la carpeta QrlJacking-Framework instalar los requerimientos: pip install -r requirements.txt ejecutar: python QRLJacker.py
Aplicaciones y servicios web vulnerables
Hay muchas aplicaciones web y servicios conocidos que eran vulnerables a este ataque hasta la fecha en que escribimos este documento. Estos son algunos ejemplos (que hemos informado) que incluyen, entre otros:
Aplicaciones de chat:
WhatsApp, WeChat, Line, Weibo, QQ Mensajería instantánea
Servicios de correo:
QQ Mail (Personal y Negocio Corporativo), Yandex Mail
eCommerce:
Alibaba, Aliexpress, Taobao, Tmall, 1688.com, Alimama, Taobao Viajes
WhatsApp, WeChat, Line, Weibo, QQ Mensajería instantánea
Servicios de correo:
QQ Mail (Personal y Negocio Corporativo), Yandex Mail
eCommerce:
Alibaba, Aliexpress, Taobao, Tmall, 1688.com, Alimama, Taobao Viajes
Banca en línea:
AliPay, Yandex Money, TenPay
Servicios de pasaportes "Críticos":
Pasaporte Yandex (Yandex Mail, Yandex Money, Yandex Maps, Yandex Videos, etc.)
Software de administración móvil:
AirDroid
Otros servicios:
MyDigiPass, Zapper & Zapper WordPress Inicie sesión con el complemento de código QR, aplicación Trustly,
Yelophone, Alibaba Yunos
AliPay, Yandex Money, TenPay
Servicios de pasaportes "Críticos":
Pasaporte Yandex (Yandex Mail, Yandex Money, Yandex Maps, Yandex Videos, etc.)
Software de administración móvil:
AirDroid
Otros servicios:
MyDigiPass, Zapper & Zapper WordPress Inicie sesión con el complemento de código QR, aplicación Trustly,
Yelophone, Alibaba Yunos