QR Kod güvenlik farkındalığı üzerine Ankara ilinde bir araştırma

Abstract

İlk olarak 1994 yılında üretim alanında kullanılmaya başlayan QR Kodlar (Quick Response Code - Kare Kod), günümüzde mobil cihazların QR Kod okuyucu olarak kullanımı ile hayatın birçok alanına (pazarlama, reklam, bankacılık, eğitim, nesne tanımlama, ürün izleme vb.) yayılmıştır. QR Kod kullanımı, kolay üretilişi ve dağıtımı, geniş depolama kapasitesi ve hızlı okunabilirliği nedeniyle hızla yaygınlaşmıştır. Popülaritesi gün geçtikçe artan QR Kodların bu denli sık kullanımına karşın, (i) kullanıcılar arasında herhangi bir güvenlik açığı algısı yaratmaması ve aksine merak uyandırması, (ii) QR Koda kaydedilebilen veri miktarının azımsanmayacak kadar fazla (saldırı düzenlemek için yeterli) olması QR Kodu saldırılara hedef haline getirmiştir. Zararlı kod çalıştırılması, güvenli olmayan web adreslerine yönlendirme, kullanıcıların gizliliğinin ihlal edilmesi gibi birçok güvenlik problemi ve riski mevcuttur. Bu çalışmada toplumsal yaşamda bireylerin QR Kodların olası güvenlik zafiyetleri ve yaratacağı sorunlar hakkındaki farkındalık seviyelerinin tespit edilmesi üzerine bir çevrimiçi anket uygulanmıştır. Teknolojiyi okur-yazarı ve yeni teknolojilere adaptasyonu hızlı olan genç nesil hedef kitle olarak seçilmiştir. Çalışma kapsamında üç farklı QR Kod (Sade, Talimatlı ve Resimli) tasarlanarak afişler hazırlanmıştır. Bu afişler Başkent Üniversitesi Bağlıca Kampüsündeki ve Hacettepe Teknokent‟teki birçok panoda 40 gün süresince asılı kalmıştır. QR Kodları taratan kullanıcılar çevrimiçi anketin bulunduğu web bağlantısına yönlendirilmektedir. 834 kiĢi QR Kod afişlerinin yönlendirdiği web adresini ziyaret etmiş, çevrimiçi anket ise 262 kişi tarafından cevaplanmıştır. Anket cevaplarından toplanılan veriler, kullanıcıların QR Kodu taratma motivasyonlarının esas olarak merak duygusundan ileri geldiğini göstermektedir. Bunun yanı sıra kullanıcıların potansiyel tehditler ve kendilerini koruma yolları hakkında bilgi eksikliğine sahip oldukları sonucuna varılmıştır. Ayrıca bir sosyal mühendislik deneyi olarak da düşünülebilecek bu çalışma sonunda QR Kod ile düzenlenen saldırılar ve bu saldırılara karşı alınabilecek önlemler de sunulmuştur. The QR codes (Quick Response Code), which were first used in the production area in 1994, have spread to many areas of life (marketing, advertising, object identification, product tracking, etc.) with the use of mobile devices as QR code scanners. Despite the increasing popularity of QR codes, (i) does not create any perceptions of vulnerabilities among users and on the contrary, arouses curiosity (ii) the amount of data in the QR code is considerable (sufficient to execute attacks), making the QR code a target for attacks. There are many security issues and risks such as malicious code execution, redirection to unsafe web addresses and violation of user privacy. In this study, an online questionnaire has been applied on determining the level of awareness of individuals about possible security weaknesses of QR Codes in social life and the problems they will create. The young generation, who technology literate and has a fast adaptation to new technologies, has been chosen as the target.Within the scope of the study, three different QR Codes (Plain, Instructional and Illustrated) were designed and posters were prepared. These posters were hung for 40 days in many boards in BaĢkent University Bağlıca Campus and Hacettepe Technopolis. Users who scan QR Codes are directed to the web link where the online survey is located. 834 people visited the web address directed by the QR Code posters and the online questionnaire was answered by 262 people. The data collected from the questionnaire answers demonstrates that the motivations of users to scan the QR Code are mainly due to curiosity. In addition, it is concluded that users have a lack of information about potential threats and ways to protect themselves. At the end of this study, which can also be considered as a social engineering experiment, the attacks organized with QR Code and the measures that can be taken against these attacks are presented.