Der TB 2023 der KDSA Ost enthält im Abs.7.2 "QR-Codes – Bequemlichkeit mit Tücken?" allgemeine Informationen zu QR-Codes. Drei unterschiedliche Codes, statisch und dynamisch, sind dort ab-gebildet. An einem anschaulichen Beispiel soll die Funktionsweise eines dynamischen Codes etwas nähergebracht werden.
Wird der erste dynamische Code gescannt (Seite 90), so landet man auf der üblichen Kontaktseite der KDSA Ost. Ein seröser Code, hier ist alles in Ordnung.
Der QR-Code auf der nächsten Seite (Seite 91) soll ein praktisches Beispiel dafür darstellen, bei dem ein Code gegen einen anderen (ggfs. unseriösen) ausgetauscht bzw. überklebt wird (Quishing). Durch dieses Vorgehen wird der Benutzer auf eine präparierte Internetadresse geleitet. Werden dafür Kurzlinks verwendet, was eine übliche Variante ist, kann der Benutzer nicht sofort erkennen, wohin der endgültige Link (Endziel) führt.
An dem Beispiel ist gut erkennbar, welche Daten bereits das erste Ziel vom Aufrufenden (Benutzer-System) erhält und in einem weiteren Schritt welche zum Endziel weitergeleitet werden können. Das zeigt uns, dass derjenige der die „Macht“ über das Sprungsystem (Kurzlink) hat, das Endziel steuern kann und mit Metadaten vom Aufrufenden beschenkt wird.
Mit ein wenig Überlegung stellen wir weiter fest, dass nicht der QR-Code dynamisch ist, sondern das erste Zielsystem die Dynamik in Form von gemanagten Weiterleitungen darstellt.
Praxis:
Bei jedem Scannen/Aufruf des Links ändern sich zur Demonstration das Bild (2) und der Link zum Endziel (3). Dabei werden technisch bedingte Metadaten übermittelt (1).
Falls die Geo-Funktion aktiv ist, werden zusätzlich die Standortdaten (4) übermittelt.
Die Kompassnadel zeigt, in welcher Richtung das Geräte gerade zeigt.
Oder Tätigkeitsbericht überspringen und gleich probieren:
