একটি QR কোড ওয়েব লিংক, আপনার Wi-Fi পাসওয়ার্ড, পেমেন্ট, কন্ট্যাক্ট কার্ড, বোর্ডিং পাস, ভ্যাকসিন রেকর্ড, ড্রাইভার লাইসেন্স, স্মার্ট-হোম পেয়ারিং কোড, এবং আরো অনেক কিছু বহন করতে পারে। বেশিরভাগ সেফটি স্ক্যানার শুধু ওয়েব লিংক চেক করে। আমরা সেগুলো সব শনাক্ত করি এবং পরীক্ষা করি — সহজ ভাষায়।
লোড হচ্ছে…
প্রতিটি ধরনের QR কোডের জন্য আমরা বলি এটি কী, এর ভেতরে কী আছে, এবং এটিতে কাজ করা নিরাপদ কিনা — আপনার ব্যক্তিগত তথ্য প্রক্রিয়ায় ফাঁস না করে।
পোস্টার, পার্কিং মিটার, বা রেস্তোরাঁর টেবিলের QR। আমরা প্রতিটি রিডাইরেক্ট অনুসরণ করি, শর্টেনার মালিক (Bitly, Linktree, TinyURL, ব্র্যান্ডেড) শনাক্ত করি, এবং লুক-অ্যালাইক ডোমেইন ও পরিচিত ফিশিং সাইট ফ্ল্যাগ করি। QR প্রিন্ট করার পর লিংক পরিবর্তন হতে পারলে আমরা বলি — এভাবেই স্টিকার-সোয়াপ স্ক্যাম কাজ করে।
আপনার হোটেল বা ক্যাফে যে QR দেয়। আমরা নেটওয়ার্কের নাম, সিকিউরিটি টাইপ, এবং পাসওয়ার্ড দেখাই, এবং "Starbucks WiFi" / "Airport Free WiFi" লুক-অ্যালাইক যা আপনাকে সংযুক্ত করার ফাঁদে ফেলতে চায় তা ফ্ল্যাগ করি।
রেস্তোরাঁ চেকআউট QR, মার্কেট-স্টল QR, পার্কিং-মিটার QR। পে করার আগে আমরা মার্চেন্টের নাম, শহর, দেশ, পরিমাণ, এবং মুদ্রা দেখাই — যাতে আপনি নিশ্চিত হতে পারেন যে আপনি যাকে ভাবছেন তাকেই পে করছেন। ৫৪টি দেশ কভার করে: PIX (ব্রাজিল), UPI (ভারত), PromptPay (থাইল্যান্ড), PayNow (সিঙ্গাপুর), Bizum (স্পেন), Swish (সুইডেন), এবং আরো অনেক।
Bitcoin, Ethereum, Solana, Lightning Network, Cashu, এবং আরো। আমরা ঠিকানা যাচাই করি, পরিমাণ ডিকোড করি, এবং জোরালো সতর্কতা দিই যখন QR আপনার ওয়ালেটকে স্মার্ট-কন্ট্র্যাক্ট ফাংশন কল করতে বলে (প্রায়ই ড্রেইনার স্ক্যামের শুরু) — সহজ সেন্ডের বদলে।
বিজনেস কার্ডের "আমার কন্ট্যাক্ট সেভ করুন" QR। নাম, ফোন, ইমেইল, প্রতিষ্ঠান, ঠিকানা, সোশ্যাল প্রোফাইল, জন্মদিন, নোট — একটি কাঠামোবদ্ধ কার্ড হিসেবে দেখানো হয় যা আপনি এক ট্যাপে ফোনে যোগ করতে পারেন। পরিচিত ব্র্যান্ডের বিরুদ্ধে লুক-অ্যালাইক নাম ফ্ল্যাগ করা হয়।
বিবাহ সাইট, কনফারেন্স ব্যাজ, টিকিটিং ফ্লো থেকে ইভেন্ট QR। শিরোনাম, শুরু, শেষ, পুনরাবৃত্তি (সাপ্তাহিক, মাসিক), অবস্থান, আয়োজক, অংশগ্রহণকারী — সব ডিকোড করা হয় যাতে Accept করার আগে আপনার ক্যালেন্ডারে ঠিক কী যোগ হচ্ছে তা দেখতে পান।
ট্যাপ-টু-কল, ট্যাপ-টু-টেক্সট, ট্যাপ-টু-ইমেইল QR। আমরা প্রিমিয়াম-রেট ফোন নম্বর (যে ধরনে মিনিট প্রতি বিল হয়), প্রতারণায় ব্যবহৃত আন্তর্জাতিক শর্ট-কোড, এবং প্রিফিলড ইমেইল সাবজেক্ট যা আপনাকে সংবেদনশীল তথ্য পাঠাতে ঠকাতে চায় তা ফ্ল্যাগ করি।
অথেন্টিকেটর সেটআপ করার সময় আপনার ব্যাংক, Google, বা ওয়ার্ক অ্যাপ যে QR দেখায়। আমরা ইস্যুকারী ও অ্যাকাউন্ট ডিকোড করি যাতে আপনি নিশ্চিত হতে পারেন কোথায় এনরোল করছেন, এবং জোরালো সতর্কতা দিই যখন কেউ তাদের সম্পূর্ণ Google Authenticator বান্ডেল শেয়ার করার চেষ্টা করে (একটি QR-এ তাদের সব 2FA কোড)।
পড়ুন: Google Authenticator এক্সপোর্ট স্ক্যান করা কি নিরাপদ?
আপনার ল্যাপটপ যে QR দেখায় যা আপনার ফোনকে প্যাসকি সাইন-ইন সম্পন্ন করতে বলে। আমরা জোরালো সতর্কতা দিই যদি আপনি নিজে সাইন-ইন শুরু না করে থাকেন — কারো অপরিচিত QR স্ক্যান করলে সে আপনার অ্যাকাউন্টে সাইন ইন হয়ে যায়। WhatsApp Web, Telegram, Microsoft 365, Google, GitHub, AWS, Steam, Discord, Slack, এবং Apple ID-তেও একই কৌশল ধরা পড়ে।
মার্কিন ও কানাডিয়ান ড্রাইভার লাইসেন্সের পেছনের বারকোড (যেটি বার ও ক্লাব স্ক্যান করে), এবং রাজ্য DMV ও EU ডিজিটাল আইডি ওয়ালেট থেকে মোবাইল ড্রাইভার লাইসেন্স। আমরা ইস্যুকারী, ক্রেডেনশিয়ালের ধরন, এবং এটি কোন অ্যাট্রিবিউট বহন করে তা দেখাই — এবং আমরা ইচ্ছাকৃতভাবে ধারকের নাম, ঠিকানা বা জন্মতারিখ কখনো প্রদর্শন করি না।
SMART Health Cards (ভ্যাকসিন রেকর্ড, প্রেসক্রিপশন, ল্যাব ফলাফল) এবং EU ডিজিটাল COVID সার্টিফিকেট। আমরা ক্রেডেনশিয়ালটি কী এবং কে ইস্যু করেছে তা শনাক্ত করি, কিন্তু ইচ্ছাকৃতভাবে রোগীর নাম, জন্মতারিখ বা কোনো চিকিৎসা বিবরণ ডিকোড করি না। এগুলো দেখার সঠিক জায়গা আপনার ওয়ালেট অ্যাপ — কোনো পাবলিক স্ক্যানার পেজ নয়।
আপনার এয়ারলাইন বোর্ডিং পাসের QR। ফ্লাইট নম্বর, রুট, তারিখ, সিট, সিকোয়েন্স — সব ডিকোড করা হয় যাতে আপনি পাসটি যাচাই করতে পারেন। আমরা বুকিং রেফারেন্স (PNR) ডিফল্টভাবে মাস্ক করি, কারণ আপনার নাম ও PNR থাকলে যে কেউ আপনার বুকিং অ্যাক্সেস করতে পারে। বোর্ডিং পাসের ছবি প্রকাশ্যে পোস্ট করবেন না।
Matter এবং Apple HomeKit পেয়ারিং QR যা আপনি নতুন ডিভাইস হোমে যোগ করতে স্ক্যান করেন। আমরা ভেন্ডর, পণ্য, সেটআপ পাসকোড, এবং এটি কোন নেটওয়ার্ক টাইপে যোগ দেওয়ার চেষ্টা করবে তা ডিকোড করি — যাতে একটি অদলবদল করা স্টিকার আপনার নিয়ন্ত্রণের বাইরের নেটওয়ার্কে চুপচাপ কোনো ডিভাইস নথিভুক্ত করতে না পারে।
ফোন প্ল্যান ইনস্টল করতে স্ক্যান করার QR। আমরা ক্যারিয়ার সার্ভার, অ্যাক্টিভেশন কোড, এবং কনফার্মেশন কোড প্রয়োজন কিনা তা দেখাই। জোরালো সতর্কতা: একটি ইনস্টল করা eSIM SMS ইন্টারসেপ্ট করতে পারে, যার মধ্যে টেক্সটে পাওয়া যেকোনো 2FA কোড অন্তর্ভুক্ত।
WireGuard কনফিগ QR। আমরা সার্ভার ঠিকানা, অনুমোদিত IP, এবং DNS দেখাই, এবং ফুল-টানেল কনফিগারেশন ফ্ল্যাগ করি যা আপনার সমস্ত ট্র্যাফিক অন্য কারো সার্ভারের মাধ্যমে রুট করবে। QR-এর প্রাইভেট কী ডিফল্টভাবে মাস্ক করা।
প্যাকেজড পণ্যে GS1 ডিজিটাল লিংক QR — এই ফরম্যাট ২০২৭ সালের মধ্যে প্রতিদিনের পণ্যের ঐতিহ্যবাহী বারকোড প্রতিস্থাপন করবে। আমরা পণ্য কোড (GTIN), ব্যাচ/লট নম্বর, মেয়াদ শেষের তারিখ, এবং সিরিয়াল ডিকোড করি — যাতে আপনি এক নজরে পণ্যের সত্যতা যাচাই করতে পারেন।
সুইস ইনভয়েসের QR। আমরা IBAN, ক্রেডিটর নাম ও ঠিকানা, পরিমাণ, মুদ্রা, এবং রেফারেন্স ডিকোড করি — যাতে আপনি ব্যাংকিং অ্যাপে কাকে পরিশোধ করা হচ্ছে তা পূর্ণ দৃশ্যমানতা সহ খুলতে পারেন।
কিছু QR ফরম্যাট স্ক্যান থেকে কখনো চালানো উচিত নয় — javascript:, এক্সিকিউটেবল ফাইল URI, এবং JavaScript-এনকোড করা ডেটা ব্লব। আমরা এগুলো হার্ড-ব্লক করি এবং কারণ জানাই। অ্যাকশন বাটন ডিজাইন অনুযায়ী নিষ্ক্রিয়।
Cashu ecash টোকেন আক্ষরিক অর্থেই অর্থ — যে কেউ QR ফটোগ্রাফ করলে তা ব্যয় করতে পারে। আমরা এটি জোরালোভাবে ফ্ল্যাগ করি। LNURL এন্ডপয়েন্ট (Lightning সাইন-ইন, উইথড্র, পে) ডিকোড করা হয় যাতে ট্যাপ করার আগে আপনার ওয়ালেট কোথায় সংযুক্ত হবে তা দেখতে পান।
QR যখন শুধু প্লেইন টেক্সট, তখনো আমরা এমবেড করা URL, ফাঁস হওয়া সিক্রেট (API কী, JWT, SSH কী), ডাউনস্ট্রিম অ্যাসিস্ট্যান্টদের লক্ষ্য করা AI-প্রম্পট-ইনজেকশন প্যাটার্ন, এবং বিপজ্জনক লিংক ছদ্মবেশ করা লুক-অ্যালাইক ইউনিকোড অক্ষর পরীক্ষা করি।
"qr.abundera.ai/r/abc → walmart.com, পরিষ্কার ✓"
এই মুহূর্তে সত্য। কিন্তু পার্কিং মিটারের QR স্টিকারটি আগে একটি শর্টেনারের মধ্য দিয়ে যায়। অ্যাকাউন্ট হোল্ডার যেকোনো সময় গন্তব্য পরিবর্তন করতে পারেন। আজ একটি পরিষ্কার QR প্রিন্ট করুন, কাল টার্গেটটি ফিশিং পেজে বদলান — একই ফিজিক্যাল স্টিকারের পরবর্তী প্রতিটি স্ক্যান ফিশিংয়ে পৌঁছাবে। URL স্ক্যানার কখনো বলেনি এটি সম্ভব।
"একটি শর্টেনারের মধ্য দিয়ে যায়। অ্যাকাউন্ট মালিক প্রিন্টের পর গন্তব্য পরিবর্তন করতে পারেন। আজ এটি walmart.com-এ নিয়ে যায় (পরিষ্কার)।"
একটি রায়ে দুটি উত্তর। এখন: আজ কি এটি নিরাপদ? পরে: কে কাল এটি পরিবর্তন করতে পারে? প্রিন্ট করা পৃষ্ঠায় QR-এর জন্য উভয়ই গুরুত্বপূর্ণ যা আপনি আন-প্রিন্ট করতে পারবেন না।
ক্রেডেনশিয়াল ও পরিচয় দলিলের জন্য আমরা আপনি যে ধরনের QR স্ক্যান করেছেন তা শনাক্ত করি, কিন্তু ইচ্ছাকৃতভাবে ভেতরের ব্যক্তিগত তথ্য ডিকোড করি না।
আপনি যখন একটি অথেন্টিকেটর-অ্যাপ এক্সপোর্ট বা সেটআপ কোড স্ক্যান করেন, আমরা এটি শনাক্ত করি এবং ভুল জায়গায় স্ক্যান করা নিয়ে সতর্ক করি — কিন্তু আসল সিক্রেট সিড আমাদের সার্ভার কখনো ডিকোড করে না। সেগুলো আপনার অথেন্টিকেটর অ্যাপে যায়, আমাদের কাছে নয়।
ভ্যাকসিন রেকর্ড ও স্বাস্থ্য সার্টিফিকেট: আমরা ইস্যুকারী (কোন সরকার / স্বাস্থ্য কর্তৃপক্ষ) এবং রেকর্ডের ধরন দেখাই। আপনার নাম, জন্মতারিখ, এবং চিকিৎসা ইতিহাস ক্রেডেনশিয়ালের ভেতরে থাকে — আমাদের স্ক্যানারের মধ্য দিয়ে কখনো প্রতিধ্বনিত হয় না।
আমরা ফ্লাইট তথ্য দেখাই যাতে পাস যাচাই করতে পারেন, কিন্তু বুকিং রেফারেন্স একটি ট্যাপ-টু-রিভিল-এর পেছনে মাস্ক করি — যাতে আমাদের রায়ের স্ক্রিনশট দিয়ে কেউ আপনার বুকিং অ্যাক্সেস করতে না পারে।
QR ফর্মে WireGuard ও SSH প্রাইভেট কী মাস্ক করা ফিল্ড হিসেবে দেখানো হয় যা আপনার ডিভাইসে ট্যাপ করে দেখা যায়। এগুলো কোনো তৃতীয় পক্ষে পাঠানো হয় না।
আমরা ট্র্যাক করছি এমন কয়েকটি উদীয়মান QR ফরম্যাট। মানক স্থিতিশীল হলেই প্রতিটি যোগ করব।
EU-র ক্রস-বর্ডার ডিজিটাল আইডেন্টিটি ওয়ালেট (eIDAS 2.0) ২০২৪-২০২৬ সালে চালু হচ্ছে। আমরা ইতোমধ্যে ঘনিষ্ঠ সম্পর্কিত মোবাইল ড্রাইভার লাইসেন্স ফরম্যাট ডিকোড করি; সদস্য-রাজ্যের রোলআউট স্থিতিশীল হলে EU ওয়ালেট ভ্যারিয়েন্ট আসবে।
EU বিধিমালা অনুযায়ী ২০২৭ সালের মধ্যে প্রতিটি ভোক্তা পণ্যে ডিজিটাল পাসপোর্ট (স্থায়িত্ব, উৎপত্তি, মেরামত তথ্য) থাকতে হবে। ফরম্যাটটি ইতোমধ্যে GS1 ডিজিটাল লিংক URL যা আমরা আজই ডিকোড করি — নির্মাতারা ডেটা প্রকাশ করার সাথে সাথে পূর্ণ পাসপোর্ট পৃষ্ঠ সমৃদ্ধ হবে।
Bluetooth SIG মেশ-নেটওয়ার্ক ডিভাইস কমিশনিংয়ের জন্য একটি QR ফরম্যাট মানক করছে (আজকের পেয়ারিং QR ভেন্ডর-নির্দিষ্ট)। স্পেক প্রকাশিত হলে সাপোর্ট যোগ করব।
QR Code, Aztec (মোবাইল বোর্ডিং পাস), PDF417 (মার্কিন ড্রাইভার লাইসেন্স), Data Matrix (ফার্মা + রিটেইল), Code 128/39/93, Codabar, EAN-13/8 (মুদিখানা), UPC-A/E (মার্কিন রিটেইল), ITF (কার্টন), MaxiCode (UPS শিপিং লেবেল), GS1 DataBar + DataBar Expanded (উৎপাদন, কুপন)। ক্যামেরায় এর যেকোনোটি ধরুন এবং আমরা QR-এর মতোই পেলোড ডিকোড ও শ্রেণীবদ্ধ করব।
আমরা ব্যবহারকারীরা সম্মুখীন হতে পারেন এমন প্রতিটি বারকোড ফরম্যাট ট্র্যাক করি। এগুলো আমাদের রাডারে আছে কিন্তু আজ ব্রাউজার JavaScript-এ অপ্রাপ্য — হয় কোনো প্রোডাকশন ডিকোডার নেই, মানকটি গবেষণা-মাত্র, অথবা ফরম্যাটটি বন্ধ। একটি কার্যকর পথ খুললেই সাপোর্ট যোগ করব (ব্রাউজার লাইব্রেরি, নেটিভ অ্যাপ, বা সার্ভার-সাইড ডিকোড)।
চীনা জাতীয় 2D সিম্বলজি (GB/T 21049-2007)। শিল্প লজিস্টিক ও সরকারি দলিলে ব্যবহৃত। আজ কোনো প্রোডাকশন JavaScript ডিকোডার নেই — পরীক্ষামূলক সাপোর্ট zxing-cpp-এ আছে, যা আমরা নেটিভ Abundera QR Check অ্যাপ যোগ করলে আসবে (পরিকল্পিত)।
জার্মান BSI-র দ্বারা অ্যান্টি-কাউন্টারফেইট প্যাকেজিংয়ের জন্য মানক রঙিন 2D বারকোড। রেফারেন্স ইমপ্লিমেন্টেশন গবেষণা-মাত্র C কোড; কোনো JavaScript পোর্ট নেই। একটি রক্ষণাবেক্ষণকারী পোর্টের জন্য অপেক্ষায় আছি।
তামাক ও ফার্মাসিউটিক্যাল শিল্পে ব্যবহৃত হাই-স্পিড ইন্ডাস্ট্রিয়াল প্রিন্টিং ফরম্যাট। আজ কোনো JavaScript ডিকোডার মানসম্পন্ন ফিক্সচার দিয়েও নির্ভরযোগ্যভাবে পড়তে পারে না। নেটিভ অ্যাপ স্ট্যাকের জন্য রাডারে আছে।
PostNet, PLANET, Intelligent Mail (USPS), RM4SCC (Royal Mail), KIX (ডাচ), Australia Post 4-State। যথেষ্ট নিশ কোনো রক্ষণাবেক্ষণকারী JavaScript লাইব্রেরি নেই। গ্রাহকের প্রয়োজন দেখা দিলে নেটিভ-অ্যাপ বা সার্ভার-সাইড ডিকোডার মূল্যায়ন করব।
Microsoft ২০১৫ সালে তার স্ক্যানার SDK-সহ এই রঙ-বারকোড ফরম্যাট অবসর দিয়েছে। সাপোর্টযোগ্য নয় — পুরনো মার্কেটিং প্রিন্ট উপকরণ যাদের কাছে আছে তাদের জানাতে এখানে অন্তর্ভুক্ত করা হয়েছে যে এটি স্ক্যান হবে না।
ইন্ডাস্ট্রিয়াল নিশ 2D ফরম্যাট। কোনো প্রোডাকশন JavaScript ডিকোডার নেই। প্রতিটি বাস্তবে এতটাই বিরল যে যাচাইকৃত কোনো গ্রাহক চাইলেই কেবল বিনিয়োগ করব।