QR-Codes und die Privatsphäre

Schwarzweiße Muster wie das links abgebildete sind auf immer mehr Marketing-Materialen zu finden – auf Plakaten, in Prospekten und Inseraten. Mit dem Mobiltelefon gescannt verweisen sie in den meisten Fällen auf eine Webseite mit zusätzlichen Informationen, Downloads, etc. Wo sonst eine Internet-Adresse wie franz.knipp.org mühsam abgetippt werden musste (gerade am Mobiltelefon eine Qual), reicht jetzt das Aktivieren der entsprechenden Handy-Software, schon wird die Zielseite geladen. Diese Bilder sind sogenannte QR-Codes (Quick Response) und gehören zu den 2D-Barcodes.

Stutzig machte mich ein Beitrag, wo als Schutz vor Piratentum für standardisierte QR-Codes geworben wird. In der weiteren Diskussion wurde klargelegt, dass die Software, die den QR-Code einliest, nicht die enthaltene Adresse aufruft, sondern zuvor eine Anfrage an einen Server stellt, um das „richtige“ Wunschziel zu ermitteln. Als Beispiel wird der Schutz vor dem Überkleben eines QR-Codes auf einem Plakat genannt, wo auch beim überklebten QR-Code auf das ursprüngliche Ziel weitergeleitet wird.

Was heißt das für den Benutzer?

Rein von der Bedienung her verhält sich die Software wie gewohnt, d. h. man zielt mit dem Telefon auf einen QR-Code, dieser wird erkannt, am mobilen Browser wird die Seite geladen.

Im Hintergrund sieht der Ablauf so aus:

  1. Die Reader-Software erkennt den QR-Code und decodiert ihn.
  2. Die decodierten Daten werden in eine Adresse verpackt, die mit den mobilen Browser am Server des Softwareherstellers aufgerufen wird.
  3. Die aufgerufene Seite enthält eine Weiterleitung auf die ursprünglich codierte Adresse.

Im zweiten Schritt werden jedoch nicht nur die codierten Nutzdaten übertragen, sondern zusätzliche Informationen von der Reader-Software – in meinem Fall NeoReader – mitgeschickt:

  • Sprache
  • Alter
  • Land
  • Geschlecht
  • Zeitstempel in der Lokalzeit
  • ID und Version der Software
  • ID des Telefons
  • Zusätzliche technische Parameter

Konkret sieht der Aufruf an router.neom.com so aus:

GET /gwv4/gateway?CODE=http%3A%2F%2Ffranz.knipp.org&LANG=DE&AGE=0&CTRY=&GEND=n%2Fa&LTS=201202131544&CLI=NR_iPhone%3A4.0.1&APPID=1&GUID=948FBC55-70CA-4329-ABD6-6BABAE21E015&BRAND=NEOM&BTYPE=MobileSafari&SYMB=QR&ZZ= HTTP/1.1

Derselbe Aufruf kann übrigens durch Klick dieses Links erreicht werden.

Angriff auf die Privatsphäre?

Hier werden unterschiedliche Daten gesammelt, die alle fix einem Mobiltelefon zugeordnet werden können. Der Softwarehersteller kennt alle QR-Codes, die ich gescannt habe und kann damit im Laufe der Zeit ein Profil über mich erstellen. Wenn ich beispielsweise die QR-Codes im Audi-Inserat und am BMW-Plakat gescannt habe, weiß der Hersteller, dass ich mich für Autos interessiere. Wenn ich meine meisten Scans zwischen 16 und 18 Uhr tätige, ist bekannt, dass das ein Zeitpunkt ist, wo ich erreichbar bin. Es würde mich nicht wundern, wenn diese Information irgendwann ausgewertet wird und ich genau zum richtigen Zeitpunkt mit entsprechenden Werbungen am Telefon konfrontiert werde.

Außer mir braucht niemand wissen, welche Inhalte mich interessieren, auch keine staatlichen Stellen, die im Namen der Terrorismusbekämpfung immer mehr mitlesen und uns so schrittweise unserer Privatsphäre berauben.

Piratentum anders gesehen

Neben dieser Datensammlung verfolgt der oben skizzierte Ablauf noch einen zweiten Zweck: Im Bedarfsfall kann die Zieladresse verbogen werden, um Missbrauch zu verhindern – oder aber erst diesen zu ermöglichen. Das könnte einerseits eine Zensur durch den Hersteller selbst sein, oder andererseits ein Hacking-Angriff, der diese Redirect-Datenbank modifiziert. Hier tun sich Bedrohungsszenarien auf, die weit über das Überkleben von QR-Codes auf Plakatwänden hinausgehen.

Was ist da böse?

Stell Dir vor, jeder Seitenaufruf in Deinem Webbrowser würde an eine zentrale Stelle übermittelt werden, sodass dort alles nachvollzogen werden kann, was jetzt im Verlauf des Browsers nur für Dich zu sehen ist. Mir wäre das nicht recht. Während bei den Browsern das Thema „Privacy“ zunehmend eine Rolle spielt, steht diese Entwicklung hier noch ganz am Anfang.

Ich muss mir jetzt nur mehr einen QR-Reader implementierenfinden, der Rücksicht auf die Privatsphäre nimmt. Hinweise werden in den Kommentaren gerne entgegen genommen.

Über Franz Knipp

Geboren 1975, erster eigener Computer 1984, erste eigene Webseite 1995, erster Blog 1999 in Spanien. Seit 2000 Programmierer und Projektleiter. Inzwischen verheiratet und dreifacher Vater. 2011 Gründung eines Software-Unternehmens. Seit 2012 Grüner Gemeinderat in Oslip.
Dieser Beitrag wurde unter Technik abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Ein Kommentar zu QR-Codes und die Privatsphäre

  1. Danke für’s Nachrecherchieren, über den privacy Aspekt hab ich bisher kaum nachgedacht. Allerdings hab ich bisher auch kaum ge-QR-codet:)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.