QR kód může obsahovat webový odkaz, heslo k Wi-Fi, platbu, kontaktní kartu, palubní propustku, zdravotní záznam, řidičský průkaz, párovací kód pro chytrou domácnost a desítky dalších věcí. Většina bezpečnostních skenerů kontroluje pouze webové odkazy. My identifikujeme a kontrolujeme všechny — srozumitelnou řečí.
Načítání...
Pro každý typ QR kódu vám říkáme, co to je, co obsahuje a zda je bezpečné jednat podle něj — aniž bychom přitom přenášeli vaše osobní údaje.
QR kód na plakátu, parkovacím automatu nebo restauračním stole. Sledujeme každé přesměrování, identifikujeme vlastníka zkracovače odkazů (Bitly, Linktree, TinyURL, značkový) a označujeme domény podobné známým webům a phishingové stránky. Pokud se odkaz může změnit poté, co byl QR vytištěn, řekneme to — takto fungují podvody s podsunutými nálepkami.
QR kód od vašeho hotelu nebo kavárny. Zobrazujeme název sítě, typ zabezpečení a heslo a označujeme falešná "Starbucks WiFi" nebo "Airport Free WiFi", která vás lákají k připojení k podvodnému přístupovému bodu.
QR kódy na pokladnách restaurací, stáncích na trhu, parkovacích automatech. Zobrazujeme název obchodníka, město, zemi, částku a měnu ještě před zaplacením, abyste si mohli ověřit, komu platíte. Pokrývá 54 zemí: PIX (Brazílie), UPI (Indie), PromptPay (Thajsko), PayNow (Singapur), Bizum (Španělsko), Swish (Švédsko) a mnoho dalších.
Bitcoin, Ethereum, Solana, Lightning Network, Cashu a další. Ověřujeme adresu, dekódujeme částku a zřetelně varujeme, když QR kód žádá vaši peněženku o volání funkce chytrého kontraktu (často začátek drainer podvodu) místo jednoduché platby.
QR kód "uložit kontakt" na vizitce. Jméno, telefon, e-mail, organizace, adresa, sociální profily, narozeniny, poznámky — vše zobrazeno jako strukturovaná karta, kterou přidáte do telefonu jedním klepnutím. Jména podobná známým značkám jsou označena.
QR kódy událostí ze svatebních stránek, konferenčních visaček, systémů pro prodej vstupenek. Název, začátek, konec, opakování (týdenní, měsíční), místo, organizátor, účastníci — vše dekódováno, abyste přesně věděli, co přijímáte, než klepnete na Přijmout.
QR kódy pro volání, SMS nebo e-mail jedním klepnutím. Označujeme prémiová telefonní čísla (zpoplatněná za minutu), mezinárodní krátké kódy používané při podvodech a předvyplněné předměty e-mailů, které se vás snaží přimět k odeslání citlivých informací.
QR kód zobrazený vaší bankou, Googlem nebo pracovní aplikací při nastavování autentizátoru. Dekódujeme vydavatele a účet, abyste si mohli ověřit, co registrujete — a zřetelně varujeme, když se někdo pokusí sdílet celý balík Google Authenticatoru (jeden QR obsahující všechny jeho 2FA kódy).
QR kód, který zobrazí váš počítač a žádá váš telefon o dokončení přihlášení přes přístupový klíč. Zřetelně varujeme, pokud jste přihlášení nezahájili vy — naskenování cizího QR kódu přihlásí jeho majitele do vašeho účtu. Zachycuje i stejný trik na WhatsApp Web, Telegram, Microsoft 365, Google, GitHub, AWS, Steam, Discord, Slack a Apple ID.
Čtěte: mám naskenovat tento QR kód pro přihlášení přes přístupový klíč?
Čárový kód na zadní straně amerických a kanadských řidičských průkazů (ten, který skenují bary a noční podniky), plus mobilní řidičské průkazy od státních DMV a EU Digital ID Wallet. Zobrazujeme vydavatele, typ dokladu a přenášené atributy — jméno, adresu ani datum narození držitele nikdy nezobrazujeme.
Čtěte: co obsahuje čárový kód na zadní straně řidičského průkazu?
SMART Health Cards (záznamy o očkování, recepty, výsledky testů) a EU digitální COVID certifikáty. Identifikujeme typ dokladu a jeho vydavatele, ale záměrně nedekódujeme jméno pacienta, datum narození ani žádné zdravotní údaje. K jejich zobrazení slouží vaše peněženkova aplikace, ne veřejný skener.
QR kód na vaší letecké palubní propustce. Číslo letu, trasa, datum, sedadlo, pořadové číslo — vše dekódováno, abyste mohli propustku ověřit. Rezervační kód (PNR) maskujeme, protože kdokoli se jménem a PNR může přistoupit k vaší rezervaci. Fotografie palubních propustek nezveřejňujte.
QR kódy pro párování zařízení Matter a Apple HomeKit. Zobrazujeme výrobce, produkt, heslo pro nastavení a typy sítí, ke kterým se zařízení pokusí připojit — podsunutá nálepka tak nemůže tiše přihlásit zařízení do sítě bez vašeho vědomí.
QR kód pro instalaci telefonního tarifu. Zobrazujeme server operátora, aktivační kód a zda je vyžadován potvrzovací kód. Zřetelně upozorňujeme, že nainstalovaná eSIM může zachycovat SMS zprávy, včetně kódů 2FA.
Konfigurační QR kódy WireGuard. Zobrazujeme adresu serveru, povolené IP adresy a DNS a upozorňujeme na konfigurace plného tunelu, které by přesměrovaly veškerý váš provoz přes cizí server. Privátní klíč v QR kódu je ve výchozím nastavení maskován.
GS1 Digital Link QR kódy na spotřebním zboží — formát, který do roku 2027 nahradí tradiční čárové kódy. Dekódujeme kód produktu (GTIN), číslo šarže/partie, datum spotřeby a sériové číslo, abyste mohli ověřit pravost produktu na první pohled.
QR kód na švýcarských fakturách. Dekódujeme IBAN, jméno a adresu příjemce, částku, měnu a referenci, abyste mohli platbu otevřít v bankovní aplikaci s plnou viditelností příjemce.
Některé formáty QR kódů by nikdy neměly být spuštěny po naskenování: javascript:, URI souborů spustitelných souborů a datové bloby kódované JavaScriptem. Tyto formáty tvrdě blokujeme a vysvětlíme proč. Tlačítko akce je záměrně deaktivováno.
Cashu ecash tokeny jsou doslova peníze — kdokoli, kdo QR kód vyfotí, je může utratit. Na to výrazně upozorňujeme. LNURL endpointy (Lightning přihlášení, výběr, platba) jsou dekódovány, abyste před klepnutím viděli, kam se vaše peněženka připojí.
I když QR kód obsahuje jen prostý text, kontrolujeme v něm vložené URL adresy, uniklé klíče (API klíče, JWT, SSH klíče), vzory prompt injection pro AI systémy a matoucí znaky unicode maskující nebezpečné odkazy.
"qr.abundera.ai/r/abc → walmart.com, čistý ✓"
Pravda v tuto chvíli. Ale QR nálepka na parkovacím automatu prochází nejprve zkracovačem odkazů. Majitel účtu může cíl kdykoli změnit. Vytisknete čistý QR dnes, zítra přesměrujete cíl na phishingovou stránku — každé následující naskenování stejné fyzické nálepky skončí na phishingu. Skener URL vám to nikdy neřekne.
"Prochází zkracovačem. Majitel účtu může cíl po tisku změnit. Dnes vede na walmart.com (čistý)."
Dvě odpovědi v jednom verdiktu. Teď: je to dnes bezpečné? Později: kdo to může zítra změnit? Obojí je důležité pro QR kód na tištěném povrchu, který nelze odvydat.
U dokladů a průkazů totožnosti identifikujeme typ naskenovaného QR kódu, ale záměrně nedekódujeme osobní informace v něm obsažené.
Když naskenujete export autentizátoru nebo kód pro nastavení, identifikujeme ho a varujeme vás před naskenováním na špatném místě — ale samotné tajné klíče náš server nikdy nedekóduje. Putují do vaší autentizátorové aplikace, ne k nám.
Záznamy o očkování a zdravotní certifikáty: zobrazujeme vydavatele (který stát nebo zdravotnický orgán) a typ záznamu. Vaše jméno, datum narození a zdravotní anamnéza zůstávají uvnitř dokladu a naším skenerem nikdy neprochází.
Zobrazujeme informace o letu, abyste mohli propustku ověřit, ale rezervační kód maskujeme za klepnutím pro odhalení, takže screenshot našeho verdiktu sám o sobě neumožňuje přístup k vaší rezervaci.
Soukromé klíče WireGuard a SSH v QR kódu jsou zobrazeny jako maskovaná pole, která odhalíte klepnutím na vašem zařízení. Nejsou odesílány žádné třetí straně.
Několik nově vznikajících formátů QR kódů, které sledujeme. Každý přidáme, jakmile se standard ustálí.
Evropská digitální peněženka pro přeshraniční identitu (eIDAS 2.0) se zavádí v letech 2024-2026. Úzce příbuzný formát mobilního řidičského průkazu již dekódujeme; varianta EU peněženky přijde, jakmile se zavedení v členských státech ustálí.
Nařízení EU vyžaduje, aby každý spotřební produkt do roku 2027 nesl digitální pas (udržitelnost, původ, informace pro opravu). Formát je již GS1 Digital Link URL, který dnes dekódujeme; plný povrch pasu se obohatí, jak výrobci budou publikovat svá data.
Bluetooth SIG standardizuje QR formát pro uvádění zařízení mesh sítě do provozu (dnešní párovací QR kódy jsou specifické pro každého výrobce). Podporu přidáme, až spec vyjde.
QR Code, Aztec (mobilní palubní propustky), PDF417 (americké řidičské průkazy), Data Matrix (farmacie + maloobchod), Code 128/39/93, Codabar, EAN-13/8 (potraviny), UPC-A/E (americký maloobchod), ITF (kartony), MaxiCode (přepravní štítky UPS), GS1 DataBar + DataBar Expanded (produkce, kupony). Namiřte kameru na kteroukoli z těchto symbolik a my dekódujeme a klasifikujeme obsah stejně jako u QR kódů.
Sledujeme každý formát čárového kódu, se kterým se uživatelé mohou setkat. Tyto jsou na našem radaru, ale v prohlížečovém JavaScriptu jsou dnes nedosažitelné — buď neexistuje žádný produkční dekodér, standard je pouze výzkumný, nebo je formát ukončen. Podporu přidáme, jakmile se otevře životaschopná cesta (knihovna pro prohlížeč, nativní aplikace nebo serverové dekódování).
Čínský národní 2D standard (GB/T 21049-2007). Používá se pro průmyslovou logistiku a vládní dokumenty. Žádný produkční JavaScript dekodér dnes neexistuje; experimentální podpora existuje v zxing-cpp, která přijde s nativní aplikací Abundera QR Check (plánováno).
Barevný 2D čárový kód standardizovaný německým BSI pro ochranu obalů před padělky. Referenční implementace je pouze výzkumný kód v C; žádný JavaScript port neexistuje. Čekáme na udržovaný port.
Formát pro vysokorychlostní průmyslový tisk používaný v tabákovém a farmaceutickém sektoru. Žádný JavaScript dekodér ho dnes spolehlivě nečte ani s kvalitními testovacími vzory. Na radaru pro nativní aplikaci.
PostNet, PLANET, Intelligent Mail (USPS), RM4SCC (Royal Mail), KIX (Nizozemsko), Australia Post 4-State. Natolik okrajové, že neexistují žádné udržované JavaScript knihovny. Pokud vznikne zákaznický případ použití, zvážíme nativní nebo serverový dekodér.
Microsoft tento barevný čárový kód v roce 2015 ukončil spolu se svou SDK pro čtení. Nepodporovatelné; uvedeno pro úplnost, aby kdokoli se starými marketingovými materiály věděl, že ho nenaskenuje.
Průmyslové okrajové 2D formáty. Žádné produkční JavaScript dekodéry. Každý je v praxi natolik vzácný, že investici zvážíme pouze na ověřenou zákaznickou poptávku.