Найти тему
IT - это просто
59 подписчиков

Мысли про QR-код mos.ru и Apple Wallet

19
7 мин
Оглавление

Статья рассматривает только вопросы потенциальной угрозы для пользователей от необдуманных действий с QR-кодом mos.ru. Какие могут быть способы мошенничества в этой сфере и их причины и предпосылки. А так же небольшие рекомендации автора как можно защитить себя от неприятностей по данной тематике.

Изначально предпосылкой к написанию этого материала послужила «Мысль №6: QR-код и Apple Wallet», но для лучшего ее понимания автор решил ввести в контекст через содержание остальных 5 рассуждений по данной теме.

Рекомендации покажутся очевидными, но они не на столько очевидны для человека пока их кто-то не озвучил.

Данную статью стоит изучать только в контексте 4 равнозначных фактов:

  • Нет политике. Любые попытки обсуждения вакцин, сегрегации и пандемии в целом будут пресекаться. Автор настаивает на рассуждении исключительно о технических вопросах и вопросах социального инженеринга по данной теме.
  • Автор придерживается позиции, что «любой закон написан чьей-то кровью» и обязателен для исполнения, а его нарушение допускается с некоторыми «НО» и в редчайших случаях, причем далеко не автором или его читателем. 😊
  • Это только мысли, без доказательств, но с теоретическим обоснованием, почему такое возможно. А это значит, что автор никого не обвиняет и не от чего не отговаривает, читатель для себя решает все сам. Это лишь субъективное мнение автора.
  • Автор «на дух» не переносит софизм во всех его проявлениях, если он встретиться в данных рассуждениях - автор будет рад получить обратную связь и при необходимости участвовать в дискуссии на эту тему.

Мысль №1: Зачем подделывают QR-код

О поддельном QR-коде в наше время не говорил только ленивый. Автора порой сильно поражает менталитет сограждан: выходит новый закон - сразу ищутся способы как его обойти или нарушить, при чем особо в содержание закона никто не вникает. Зачем так делать? Для большинства граждан новое правило зачастую несет больше благо, чем трудности или неприятности.

Возможно виной такого поведения является мысль школьника на уроке биологии. Он думает, что ему этот предмет не пригодится в жизни, ведь он будет программистом.

Во-первых, автор, как инженер, настаивает, что биология порой дает подсказки лучшей организации алгоритма. Не говоря уже о том, что это может стать предметной областью разработки нового продукта.

Во-вторых, подобная безграмотность побуждает к развитию еще одного кусочка экономики - теневого/серого/незаконного.

И с недавних пор этот «кусочек» обзавелся новой услугой: «QR-код mos.ru не выходя из дома».

Опасность: В картине идеального мира автора за любую незаконную деятельность всегда приходится рано или поздно отвечать, например судимостью.

К сожалению, начать пользоваться подобной услугой можно неосознанно, но ответить по всей строгости. Например, просто использовав поисковой запрос «получить QR-код вакцина» и использовав из поисковой выдачи ссылку недоброжелателя.

Рекомендация: берите QR-код только в официальных приложениях и ресурсах. Не пользуйтесь услугами непонятных ресурсов и приложений. Всегда проверяйте источник на его достоверность.

При этом, автор настаивает на разделении предоставления данной услуги на три типа:

  • подделка QR-кода;
  • незаконное получение реального QR-кода;
  • получение и использование чужого QR-кода.

Мысль №2: Что такое поддельный QR-код?

Что такое поддельный QR-код? Здесь довольно все просто - это технология старого доброго фишинга. Существует клон сайта mos.ru, который имеет адрес очень похожий на оригинальный. Подход рассчитан на невнимательность сотрудников, которые будут этот код считывать и проверять.

На эту тему особо нет мыслей, все и так довольно понятно. По такому коду Вас пропустят только те, кто пустили бы Вас даже в том случае, если этого кода вообще нет. Еще причинами могут быть невнимательность сотрудника или отсутствие у него базовой компьютерной грамотности.

Рекомендация: не забывайте, что если в ресторане «прокатит» использование такого кода, то Вы можете подставить не только себя, но также сотрудника и ресторан в котором он работает. А кто этот человек после этого - решайте сами.

Мысль №3: Незаконно полученный реальный QR-код

История так же известная как Статья 327 УК РФ «Подделка, изготовление или оборот поддельных документов, государственных наград, штампов, печатей или бланков». Человек «из системы», на котором, кстати, пандемия никак не отразилась финансово, решил заработать на необразованности своих граждан. Автору здесь сказать нечего, это довольно косвенно относится к теме рассуждений.

Опасность: За это уже заводят уголовные дела. Не «прокатит».

Мысль №4: Как использовать чужой QR-код?

В QR-коде зашифрована ссылка, которая ведет на страницу:

Пример страницы подтверждения действительности QR-кода
Пример страницы подтверждения действительности QR-кода

Сотрудник, который видит данную страницу имеет для верификации данные:

  1. Фамилия начинается на букву «У» и имеет длину 8 символов.
  2. Имя начинается на букву «И» и имеет длину 4 буквы.
  3. Отчество начинается на букву «С» и имеет длину 9 букв.
  4. Дата рождения 1 января.

Предположим, это Илья Сергеевич. Среди открытых анкет во Вконтакте по дате рождения и имени с отчеством из Москвы нашлось 8 человек.

Если среди этих людей у пары человек фамилия на букву «У», то они могут пользоваться одним QR-кодом. К ним могут присоединиться люди с именем «Иван» или отчеством «Семенович». И не известно сколько еще людей не зарегистрировано в этой соцсети или скрыло свои аккаунты из поиска.

На практике это будет работать только для популярных фамилий, имен и отчеств. При этом нужно иметь базу существующих QR-кодов и как можно больше. Но автор умышленно настаивает на теоретической возможности. А следовательно нужно ответить на вопрос: А как получить много реальных QR-кодов?

Мысль №5: Возможно ли получить чужой QR-код?

Теоретически это возможно. Автор не проверял и очень надеется, что у портала mos.ru есть защита от подобных действий. Имя этому действию - классический «Brute Force» или технология полного перебора всех вариантов ссылок на QR-коды.

Даже если у mos.ru нет от этого защиты - подобный подход очень дорогой. Он требует большого количества компьютеров, которые согласовано между собой начнут эту процедуру. Себестоимость этой затеи скорее всего превысит прибыль. За исключением случаев использования для этого зараженных машин, но и их может не хватить для решения этой задачи.

На практике это не достижимо, теоретически - возможно.

Еще эту базу можно получить способом, о котором автор размышлял в Мысли №3 - коррумпированный сотрудник скачал базу на флешку.

Это так же плохой подход, ведь базу надо постоянно обновлять, коды имеют срок годности. А срок годности в течении года только у вакцинированных граждан. Переболевшие люди и жители с тестом на ПЦР имеет значительно меньший срок жизни кода.

На практике это не достижимо, теоретически - возможно.

А есть ли законные способы собрать QR-коды?

Мысль №6: QR-код и Apple Wallet

Если честно, то автор задается вопросом, почему в приложениях «Госуслуги» и «ЕМИАС» нельзя создать и добавить QR-код в кошелек мобильного устройства. Это довольно тривиальная задача для мобильного инженера. Но автор уверен, что у разработчиков есть веские причины, почему этого функционала нет. И эти причины не столь очевидны, как может казаться на первый взгляд.

Однако отсутсвие этого функционала породило новый тип сервисов: «Добавление QR-кода mos.ru в Apple Wallet и Google Wallet».

И граждане сами добровольно загружают в эти сервисы свои QR-коды. А как я уже говорил в статье про пиратское ПО - никто не хочет работать бесплатно. При учете, что бесплатно сделать карточки в «Мобильные кошельки» нельзя, ведь разработчики платят пошлину за этот функционал. Это получается работа «в минус». Значит можно предположить, что они как-то используют эти данные для обогащения.

Мысль №7: Снимем шапочку из фольги и подведем итоги

  1. Теоретически это вполне реальный сценарий, но практическая сторона этой истории нецелесообразна.
  2. Разработчики могут предложить функционал создания карточек QR-кода в кошельке пользователям ничего не требуя в замен. Если у них уже были оплаченные аккаунты разработчиков, то они ничего практически не теряют финансово. Автор не утверждает, что это мошенники.
  3. Данные схемы теоретические, и их реализация маловероятна.
  4. Страница подтверждения QR-кода не несет в себе информации позволяющей однозначно определить личность человека - для обычного гражданина это не персональные данные. Но сам QR-код для правоохранительных органов является возможностью установить Вашу личность - у них прав и возможностей больше. Поэтому не стоит кодом «разбрасываться».
  5. А вся статья - это всего лишь ход мыслей, который стоит проделать каждому человеку перед принятием того или иного решения.
Рекомендация: Не спеши за модой - лучше думай.