ElectroYou - la comunità dei professionisti del mondo elettrico

[ga2bo]

Salve avrei un dubbio importante.
Sto cercando di creare un QR code, in modo tale da salvargli dentro un programma, e che una volta scansionato il QR code venga avviato il programma sul telefono o tablet di chi l'ha scansionato.
Grazie già in anticipo.

[boiler]

E se la persona non vuole avviare nessun programma.
'sta roba mi puzza di truffa, chiudo il thread.

[fairyvilje]

Sblocco in quanto la domanda è legittima o nel caso peggiore le limitazioni tecniche impediscono abusi in questo senso. I QR code non possono operare oltre quelli che sono i limiti di sicurezza imposti dal sistema android e quindi non c'è un rischio concreto per la sicurezza a mio avviso, a meno di non sfruttare una qualche vulnerabilità non nota al pubblico.
Non è possibile salvare un programma in modo pratico in un QR code per via della scarsa densità di bit rappresentabili, anche spingendo le dimensioni al massimo. Quello che puoi fare è memorizzare qualcosa di molto più breve per eseguire una richiesta di download dallo store, avviare una app installata, o presentare un link presso il quale è possibile scaricare la tua app. Ovviamente il tutto viene iniziato dall'utente avviando un'applicazione apposita, e deve anche dare conferma per le azioni che seguono una volta che il QR code viene letto.
Suggerisco questo video che descrive qualcosa di simile a quello che vorresti te, solo che appunto, mette in chiaro tutte le limitazioni ed il perché non funzionerebbe a livello pratico: https://www.youtube.com/watch?v=ExwqNreocpg

[ga2bo]

Guarderò sicuramente il video, grazie mille.

[boiler]

Sblocco in quanto la domanda è legittima o nel caso peggiore le limitazioni tecniche impediscono abusi in questo senso.

D'accordo

[Max2433BO]

Ho notato solo ora questo argomento per cui, forse arrivo tardi

Una cosa che devi prevedere nel tuo sistema ga2bo, e valida poi per l'utilizzo di qualsiasi tipo di barcode, è la possibilità, da parte dell'utilizzatore di avere una via alternativa all'utilizzo del barcode stesso per svolgere la medesima azione.

Nei barcode 1D, che contengono, esclusivamente, una stringa alfanumerica (o solo numerica) più o meno lungha, è normale decodificare sotto, o sopra, di esso, il contenuto in "chiaro": in questo modo l'utilizzatore, nel caso non fosse possibile leggere il barcode, può inserire manualmente la stringa di dati.

Nei barcode 2D la cosa si complica perché, per loro stessa natura, possono contenere qualsiasi cosa che rientri nella loro capacità di memorizzazione, per cui, a seconda dei casi, l'operatore "umano" deve essere sempre messo nelle condizioni di poter recuperare, in altro modo, quanto decodificato nel barcode.

Un esempio: negli anni '90, in un PDF417 di 70 x 18 mm, avevamo decodificato il contenuto di un normale pass aziendale (dati personali, dati aziendali, foto identificativa e firma), in questo frangente tutti questi dati erano riportati in "chiaro" sul pass, per cui, in caso di illeggibilità del barcode, l'identificazione poteva essere fatta a vista da un operatore.

Non è possibile salvare un programma in modo pratico in un QR code per via della scarsa densità di bit rappresentabili, anche spingendo le dimensioni al massimo.

@ fairyvilje

Il QR Code standard da 177 x 177 moduli (QR Code 40), con un ECC level L (approssimativamente il 7%), può contenere, all'incirca, 2,8 kB: forse, uno bravo, bravo, un programmino lo può inserire

Max

[fairyvilje]

Si si certamente. Il video che avevo lasciato ne è un esempio, se non erro una semplice implementazione di pong che funziona in windows con un po' di magia oscura.
In 2.8 kB c'è abbastanza spazio per mandare una sonda in orbita volendo .

[Max2433BO]

(...) In 2.8 kB c'è abbastanza spazio per mandare una sonda in orbita volendo .

... immagino!

Pensa che ogni tanto, mio padre (80enne), mi racconta che riusciva a fare programmi di gestione (magazzino, buste paga) in poco più di 1 kB...

... ma, allora, si usavano, lettori/scrittori di schede perforate, telescriventi, memorie ram magnetiche, nastri magnetici e unita di processo che occupavano una stanza intera, altro che smartphone

[MassimoB]

Il QR Code standard da 177 x 177 moduli (QR Code 40), con un ECC level L (approssimativamente il 7%), può contenere, all'incirca, 2,8 kB: forse, uno bravo, bravo, un programmino lo può inserire

Max

Il payload di una reverse shell ottenuto con msfvenom occupa poche centinaia di bytes e non bisogna nemmeno essere degli esperti di offensive security

[fairyvilje]

Certo, il punto fondamentale non è la densità di informazione contenuta in un QR code, che di base è troppo poca per avere una rappresentazione esplicita di ogni ragionevole applicazione moderna non costruita ad hoc, ma il fatto che poco importa al lato pratico.
Salvo sfruttare vulnerabilità sul software di lettura, i QR code non hanno funzionalità standalone, ma è dettata da un'applicazione già esistente che deve complementare il loro contenuto informativo. Se si vogliono usare per fare il loading di codice eseguibile occorre un loader sul dispositivo o la cosa non funzionerà mai. Su smartphone questo è ancora più impensabile per via dell'approccio sandbox nella gestione dei permessi alle app.
Quindi, anche se tecnicamente c'è abbastanza spazio per fare qualunque cosa sotto il profilo offensivo, manca l'anello che permette la loro esecuzione. Sarebbe come dire che stampare la sequenza genetica di un virus e guardarla ci fa ammalare.