20.6.2024

Kostenlose Fußballtickets

Kostenlose Fußballtickets

...oder warum QR-Codes kein guter Proof-of-Location sind

In einer immer stärker digitalisierten Welt gewinnen Technologien zur Standortverifizierung zunehmend an Bedeutung. QR-Codes sind eine beliebte Methode zur schnellen Übermittlung von Informationen und werden in vielen Bereichen des täglichen Lebens eingesetzt. Von Marketingkampagnen bis hin zur Authentifizierung – QR-Codes scheinen eine einfache und effiziente Lösung zu sein. Doch trotz ihrer Vielseitigkeit und Beliebtheit haben QR-Codes auch ihre Schwächen, insbesondere wenn es darum geht, den Proof-of-Location zu gewährleisten. In diesem Blogbeitrag werden wir untersuchen, warum QR-Codes für die Standortverifizierung ungeeignet sind. Dabei werden wir auf Sicherheitsbedenken, technische Einschränkungen und alternative Technologien eingehen, die eine zuverlässigere Lösung bieten.

QR-Codes, auch bekannt als Quick Response Codes, sind zweidimensionale Barcodes, die es Nutzern ermöglichen, Informationen wie URLs, Kontaktdaten oder Texte mit einem einfachen Scan abzurufen. Ihre Fähigkeit, eine Vielzahl von Datenarten zu speichern und die einfache Handhabung machen sie zu einer beliebten Wahl in zahlreichen Anwendungsbereichen. Mit Hilfe speziell trainierter KI Modelle lassen sich auch QR-Codes erstellen, die auf den ersten Blick nicht danach aussehen.

Mein LinkedIn Profil, für die BananaConf 2024 in Tallin generiert mit https://quickqr.art/

QR-Codes und Proof-of-Location

Auf den ersten Blick scheinen QR-Codes eine ideale Lösung zur Standortverifizierung zu sein. Nutzer könnten einfach einen an einem bestimmten Ort platzierten QR-Code scannen, um ihre Anwesenheit an diesem Ort zu belegen. Dieses Konzept klingt verlockend, da es einfach und kostengünstig umsetzbar ist. Doch bei genauerer Betrachtung zeigt sich, dass QR-Codes erhebliche Schwachstellen aufweisen, die sie für den Proof-of-Location ungeeignet machen.

Sicherheitsrisiken und Schwachstellen

  1. Manipulationsanfälligkeit: Einer der größten Nachteile von QR-Codes ist ihre Anfälligkeit für Manipulation. Jeder kann leicht einen QR-Code erstellen und an einem beliebigen Ort platzieren. Betrüger könnten gefälschte QR-Codes verwenden, um falsche Standortdaten zu erzeugen. Die Integrität und Authentizität der Standortinformationen sind somit nicht gewährleistet.
  2. Phishing-Bedrohungen: QR-Codes können Nutzer unwissentlich auf bösartige Websites weiterleiten. Diese Bedrohung wird als QR-Phishing bezeichnet. Angreifer könnten QR-Codes an öffentlichen Orten platzieren, die Nutzer auf gefälschte Seiten führen, um ihre persönlichen Daten zu stehlen oder Malware zu installieren. Dies stellt ein erhebliches Sicherheitsrisiko dar, insbesondere wenn die Standortverifizierung Teil sensibler Prozesse ist. Solche Attacken gab es bereits auf mehreren Crypto Konferenzen, an Parkuhren und in Bubbletea Läden. Der Begriff QRishing für QR Code Phishing etabliert sich bereits.
  3. Fehlende Echtzeit-Überprüfung: QR-Codes bieten keine Möglichkeit zur Echtzeit-Überprüfung des Standorts. Ein Nutzer könnte einen QR-Code scannen und anschließend an einen anderen Ort reisen. Die Standortinformationen wären veraltet und möglicherweise ungenau. Eine zuverlässige Standortverifizierung sollte in der Lage sein, den aktuellen Standort eines Nutzers in Echtzeit zu erfassen und zu überprüfen.
Pressenachrichten über QR-Code Missbrauch

Wallet Drainer auf Crypto Konferenzen

Technologische Grenzen der QR-Codes

  1. Fehlende Verschlüsselungsoptionen: QR-Codes speichern Daten in einem leicht lesbaren Format. Ohne zusätzliche Verschlüsselung können die gespeicherten Informationen während der Übertragung abgefangen und manipuliert werden. Für Anwendungen, die eine hohe Sicherheit erfordern, ist dies ein unhaltbares Risiko.
  2. Begrenzte Datenkapazität: QR-Codes haben eine begrenzte Datenkapazität. Bei der Übermittlung komplexer Standortdaten stoßen sie schnell an ihre Grenzen. Eine umfassende Standortverifizierung erfordert oft umfangreiche Datensätze, die detaillierte Informationen über Zeit, Ort und Benutzer umfassen.
  3. Publizierbarkeit: QR Codes lassen sich abfotografieren und beliebig duplizieren und veröffentlichen. Willentlich und aus Versehen. Die Kopien sind vom ursprünglichen QR Code für die Applikation und den damit verbundenen Dienst nicht unterscheidbar. Damit können sie auch von Nutzern gelesen werden, die nicht am gleichen Ort wie der ursprüngliche QR Code sind.

Was hat das alles mit Fußballkarten zu tun?

Auf der diesjährigen Ausgabe einer der angesehensten Events für digitales Marketing hat einer der Aussteller, eine bedeutende Softwarefirma für Unternehmenssoftware, eine NFT Jagd auf ihrem Stand veranstaltet. Dabei konnten 9 verschiedene NFTs mit dem Scan von 9 versteckten QR Codes gesammelt werden.

Ein QR-Code im Video

Ein Video davon veröffentlichte ein Mitarbeiter selbst auf LinkedIn. Interessanterweise ist in dem Video einer dieser QR-Codes kurz zu sehen – ich habe in meinem Kommentar auch bereits angedeutet, dass er in der Tat benutzbar ist😉

Mein Hint an den Autor

Die im QR-Code im Video codierte URL endet auf …/event/8 - während des Events wurde von dort aus zu der Minting Seite des Softwarefirma weitergeleitet. Auf dieser konnte bei Angabe von Email und optional einer Public Wallet Adresse das NFT gemintet werden. Nun war es sehr naheliegend, die „8“ am Ende durch andere Ziffern zu ersetzten – und voila, waren alle 9 NFTs in meinem Besitz, obwohl ich gar nicht auf dem Event vor Ort war.

Gewonnen, ohne vor Ort gewesen zu sein

Die NFTs dienten als Zugang zu einer Verlosung von mehreren Sachpreisen, wobei auch  tatsächlich zu den Gewinnern zählte – ich hatte ja schließlich auch meine 9 „Lostickets“ gefunden. Ein Gutschein für 2 Heimtickets für ein Heimspiel von Mainz 05 landeten in meinem Briefkasten. Besten Dank!

Bessere Alternativen für den Proof-of-Location

Angesichts der Sicherheitsbedenken und technologischen Einschränkungen von QR-Codes sind andere Technologien besser geeignet, den Proof of Location zu gewährleisten:

  1. Serialisierte, validierbare Marker: Wenn an Stelle des QR-Codes nicht kopierbare, einmalige Marker treten, dann können diese weder zum QRishing missbraucht, noch fotografiert und publiziert werden.
  2. GPS-basierte Systeme: GPS-Technologie ist weit verbreitet und bietet eine genaue Standortverifizierung. Geräte mit GPS-Empfängern können den Standort eines Nutzers in Echtzeit erfassen und an das verifizierende System übermitteln. Diese Methode ist sicherer und zuverlässiger als QR-Codes.
  3. Beacons und NFC: Beacons und NFC (Near Field Communication) sind Technologien, die auf kurze Distanzen arbeiten und in der Lage sind, genaue Standortinformationen bereitzustellen. Diese Technologien sind schwieriger zu manipulieren und bieten eine höhere Sicherheit für die Standortverifizierung. Sie sind  allerdings aus der Ferne kontaktlos zerstörbar und erfordern ein höheres Know-How der Nutzer, für die in der Regel ein NFC Scan schwieriger ist als ein optischer Scan.
  4. Blockchain-Technologie: Die Blockchain-Technologie bietet eine dezentrale und unveränderliche Möglichkeit zur Verifizierung von Standortdaten. Transaktionen werden in einem öffentlichen oder privaten Ledger aufgezeichnet, der von allen Teilnehmern des Netzwerks überprüft werden kann. Dies bietet eine hohe Sicherheit und Transparenz für die Standortverifizierung.

Beispieltechnologien

  1. Meta Anchor: Der holographische Fingerabdruck von Authentic Vision kombiniert die Alternativen 1 und 2. Es werden der Standort des Labels, die Position des Smartphones und der Zeitstempel des Validierungsservers zum Ergebnis des Scanergebnisses hinzugefügt. Optional kann auch Alternative 4 mitgenutzt werden. Darüber hinaus kann mit einem eigens kreierten Smart Contract mit einem „Asset Bound NFT“ die gesamte Liste und besonders der letzte Besucher einer Lokation dezentral und nachweisbar ermittelt werden. Die Meta Anchor bieten den besonderen Vorteil, dass sie mittels einer mobilen App auf jedem beliebigen Smartphone mit Kamera, Licht und Internetverbindung validierbar sind.
  2. Dynamic Element: Mittels Makro Aufnahmen, die die Oberflächenstruktur mit berücksichtigen und einer dezentralen Registrierung der Referenzmuster und Validierungen werden die Alternativen 1 und 4 in den Lösungen von Dynamic Element kombiniert. Auf die Verwendung von QR-Codes kann dabei komplett verzichtet werden, bzw. werden diese zu sicheren SQR-Codes aufgewertet. Für die Validierung sind leistungsfähige Makro Optiken nötig, die in den aktuellen Generationen der gängigsten Smartphone Anbieter verbaut sind.
  3. Tokiphy: Eine Kombination aus den Alternativen 3 und 4 bieten die NFC Chips und Lesegeräte von Tokiphy. Damit lassen sich komplett Web3 integrierte Lösungen entwerfen, deren Nutzer mit einer Chipkarte den Zugang zu deren Funktionen haben, ohne sich mit der Technologie zu beschäftigen. Durch die Lesbarkeit einer sparaten Partition mit gewöhnlichen, NFC fähigen Smartphones lassen sich die Chips auch für einen breiten Proof-of-Location Use-Case einsetzen.
Schreibe mir bei Interesse an den Technologien einfach eine Nachricht und wir vereinbaren einen Beratungstermin oder ich stelle gerne den direkten Kontakt zum jeweiligen Hersteller her.

Fazit

QR-Codes haben zweifellos ihren Nutzen in verschiedenen Kontexten, doch für einen Proof-of-Location sind sie weitestgehend ungeeignet. Die Sicherheitsrisiken, Manipulationsanfälligkeit und technologischen Einschränkungen machen sie zu einer weniger als suboptimalen Wahl. Unternehmen, die eine zuverlässige und sichere Standortverifizierung benötigen, sollten alternative Technologien wie validierbare Marker, GPS, Beacons/NFC oder Blockchain in Betracht ziehen. Durch den Einsatz dieser fortschrittlichen Technologien können Unternehmen die Integrität und Authentizität ihrer Standortdaten sicherstellen und sowohl ihre Systeme vor potenziellen Bedrohungen schützen, als auch ihre Nutzer vor QRishing.

Disclaimer

Ich möchte die Veranstalter des Gewinnspiels nicht anprangern und deshalb auch ihre Namen nicht nennen; ich schätze das Team und ihre Entwicklungen sogar sehr. Die Intention der Aktion lag in diesem Stadium in dem Bekannt werden, der Verbreitung und dem Verproben der Technologie zur einfachen Integration und Nutzung von NFTs in bestehenden Systemen zu Marketing Zwecken. Das hat ganz hervorragend funktioniert - und der Ansatz, auch Kunden ohne Wallet die Möglichkeit der Nutzung zu bieten halte ich für zielführend für eine größere und schnellere Akzeptanz der Technologie in der breiten Masse. Im Prinzip ist eine möglichst breite Nutzung des Service dem sogar auch förderlich. Die Schwachstelle der Übertragbarkeit von QR-Codes war und ist dem Team durchaus bewusst und wurde bei der Aktion billigend in Kauf genommen.

Die Tickets wollte ich natürlich nicht einlösen – schließlich war ich ja gar nicht auf dem Event vor Ort und falle somit nicht in die Zielgruppe der Veranstalter. Ich habe sie über den Aussteller mit freundlicher Unterstützung von Mainz 05 an bedürftige Kinder weitergeben lassen.