Kode QR adalah wadah. Isinya bisa berupa pembayaran, catatan vaksin, SIM, eSIM, login passkey, atau pemasangan perangkat rumah pintar โ masing-masing diatur oleh standar internasional tersendiri dengan model ancamannya sendiri. Ini adalah referensi otoritatif untuk setiap standar yang dikenali pemindai kami, apa yang sebenarnya ada di dalamnya saat Anda memindai, dan tepat apa yang kami tampilkan versus kami sengaja sembunyikan.
Setiap QR yang Anda pindai untuk membayar merchant dalam lima tahun terakhir menggunakan kerangka TLV dari EMVCo, namun isinya bersifat spesifik per negara. Kami mengidentifikasi skema spesifik, mendekode kolom merchant yang perlu Anda verifikasi sebelum membayar, dan memvalidasi checksum CRC yang tidak bisa dipalsukan oleh penyerang yang menukar stiker.
EMVCo MPM / CPM ๐ณ
Standar dasar untuk setiap pembayaran QR yang disajikan pedagang secara global. Kerangka Tag-Length-Value yang memuat nama pedagang, kota, negara, mata uang, jumlah, informasi akun penerima, dan checksum CRC-16/CCITT-FALSE.
Kami tampilkan: nama merchant, kota, negara, mata uang ISO 4217 (tabel lengkap, 169 kode), kategori MCC, jumlah, dinamis vs statis, indikator tip, subfield data tambahan (label referensi, nomor tagihan, label pelanggan, label terminal, tujuan).
Penilaian ancaman: CRC tidak valid โ mencurigakan (QR telah diubah atau rusak, sinyal penggantian stiker yang paling andal).
Skema pembayaran instan Bank Sentral Brasil. Pemimpin dunia berdasarkan volume transaksi. Dua varian: statis (QR yang dapat digunakan ulang) dan dinamis (QR sekali pakai dengan ID transaksi yang tertanam).
Kami tampilkan: kunci Pix penerima (CPF / CNPJ / email / telepon / EVP UUID), deskripsi pembayaran, URL QR dinamis jika tersedia.
Unified Payments Interface India, yang terbesar berdasarkan jumlah pengguna. Alamat Pembayaran Virtual (VPA) UPI mengarahkan pembayaran antar bank secara real time.
Kami tampilkan: VPA penerima, nama penerima, jumlah, mata uang, referensi transaksi, MCC, catatan transaksi.
ISO 20022 SPC v2.2, bukan EMVCo. Menggantikan slip pembayaran Swiss oranye/merah. 33 bidang berbatas baris yang mencakup kreditur, kreditur utama, debitur utama, jenis referensi (QRR / SCOR / NON), informasi tagihan, dan prosedur alternatif.
Kami tampilkan: IBAN kreditur, alamat lengkap kreditur, debitur utama, jumlah, mata uang, jenis referensi yang diformat rapi, referensi terstruktur, pesan tidak terstruktur, URL prosedur alt eBill.
Faktur yang ditandatangani secara kriptografis, wajib untuk setiap transaksi komersial di Kerajaan. Dikodekan TLV dengan lima tag yang diperlukan (penjual, nomor PPN, stempel waktu, total, jumlah PPN) ditambah tanda tangan ECDSA.
Kami tampilkan: nama penjual, nomor registrasi PPN, stempel waktu ISO 8601, total faktur, jumlah PPN.
Dan masih banyak lagi: kami mengidentifikasi skema pembayaran nasional untuk 54 negara, PromptPay (Thailand), PayNow (Singapura), DuitNow (Malaysia), QRIS (Indonesia), Bizum (Spanyol), Swish (Swedia), MB WAY (Portugal), BLIK (Polandia), Wero (EU), dan puluhan lainnya tercakup dalam katalog penganalisis.
Kredensial kesehatan
Catatan vaksin, resep, hasil laboratorium, dan sertifikat perjalanan. Ditandatangani secara kriptografis oleh otoritas kesehatan nasional. Kami mengidentifikasi kredensial dan menampilkan penerbit + jenis, namun sengaja tidak pernah mendekode nama pasien, tanggal lahir, atau riwayat medis. Aplikasi dompet Anda adalah tempat yang tepat untuk melihat informasi tersebut.
SMART Health Cards ๐ฉบ
JWS berkode numerik yang membungkus payload JSON terkompresi DEFLATE dengan sumber daya FHIR. Digunakan oleh Apple Wallet, Common Trust Network, negara bagian AS, provinsi Kanada, dan beberapa jaringan apotek untuk catatan vaksin dan laboratorium.
Kami tampilkan: URL penerbit, cap waktu ISO penerbitan, jenis kredensial (covid19 / immunization / lab / dll.), versi FHIR, jumlah resource + tipenya.
Kami tidak pernah mendekode: nama pasien, tanggal lahir, tanggal vaksinasi/tes, isi resource FHIR individual. Diuji melalui suite pengujian analyzer.
EU Digital COVID Certificate (HC1) ๐ช๐บ
Awalan HC1: membungkus rantai base45 โ DEFLATE โ COSE_Sign1 โ CBOR โ CWT yang berakhir pada klaim HCERT yang didefinisikan EU. Masih digunakan untuk dokumen perjalanan non-COVID di beberapa negara anggota setelah darurat COVID berakhir.
Kami tampilkan: negara penerbit (ISO 3166-1), cap waktu berlaku mulai, cap waktu kedaluwarsa, versi skema, jenis kredensial (vaksinasi / tes / pemulihan), penyakit target (SNOMED-CT, ditampilkan sebagai "COVID-19", bukan kode mentah 840539006), negara vaksinasi/tes, organisasi penerbit, nomor dosis / total, jenis tes, hasil tes.
Kami tidak pernah mendekode: nama pasien, tanggal lahir, tanggal dosis, ID sertifikat unik (UVCI). Dibatasi uji.
Dokumen identitas
Lisensi pengemudi, ID seluler, dan dompet identitas digital. Barcode di bagian belakang lisensi pengemudi AS memuat setiap kolom yang ada di bagian depan. QR lisensi pengemudi seluler mengirimkan jabat tangan koneksi sehingga verifier dapat terhubung melalui NFC / BLE untuk membaca atribut.
AAMVA driver license ๐ชช
Barcode PDF417 di bagian belakang setiap SIM Amerika Serikat dan Kanada. Format elemen subfile mengacu pada lampiran D.12.5 AAMVA Card Design Standard.
Kami tampilkan (~17 bidang): nama depan/tengah/belakang, tanggal lahir berformat ISO, jenis kelamin, tinggi badan, warna mata, nomor lisensi (bertopeng), kelas lisensi, pembatasan, endorsement, tanggal kedaluwarsa, tanggal penerbitan, alamat lengkap, negara, penanda donor organ, penanda veteran, ambang batas di bawah 21 tahun.
Sensitif secara default: nomor lisensi + tanggal lahir ditampilkan sebagai bidang bertopeng yang harus diketuk untuk diungkapkan, sehingga tangkapan layar hasil pemindaian tidak menjadi kebocoran identitas itu sendiri. Peringatan privasi menyatakan bahwa bar dan klub yang memindai KTP menerima SEMUA data ini, bukan hanya usia pemegang.
QR mdoc: yang ditampilkan lisensi pengemudi seluler iOS / Android Anda saat diserahkan kepada verifier. CBOR DeviceEngagement dengan pemilih cipher-suite, kunci publik sementara pemegang, dan daftar metode transfer yang dapat digunakan verifier untuk terhubung.
Kami tampilkan: versi protokol, cipher suite (P-256 ECDH-ES + A256KW adalah yang wajib saat ini), metode transfer yang didukung (NFC / BLE / Wi-Fi Aware), host pengambilan server (jika ada).
Kami tidak pernah mendekode: byte kunci publik sementara pemegang (hanya ditampilkan sebagai panjangnya). Atribut mDL sebenarnya mengalir melalui saluran yang dinegosiasikan setelah verifier terhubung, tidak pernah melalui pemindai ini.
Alur login QR yang melindungi (atau membahayakan) setiap akun yang Anda miliki. Kami mengidentifikasi setiap jenisnya dan memberikan peringatan keras saat sebuah QR meminta Anda menyelesaikan proses masuk orang lain, bukan milik Anda sendiri.
FIDO CTAP 2.2 hybrid ๐๏ธ
QR passkey lintas perangkat yang ditampilkan laptop Anda saat masuk dengan passkey di ponsel. Peta CBOR yang dikodekan Base10 berisi kunci publik peer, rahasia QR, petunjuk operasi, domain tunnel server, cap waktu, dan flag bantuan status.
Kami tampilkan: operasi (make-credential / get-assertion / discoverable), domain tunnel server (mis. cable.ua5v.com), cap waktu ISO, mendukung bantuan status, panjang kunci publik peer, panjang rahasia QR.
Peringatan keras: memindai QR ini menyelesaikan proses masuk yang DIMULAI DI PERANGKAT LAIN. Jika Anda tidak baru saja memulai login passkey sendiri, tolak โ Anda akan memasukkan siapa pun yang membuat QR ini ke akun Anda.
QR pengaturan kata sandi sekali pakai RFC 4226 / RFC 6238. URI otpauth:// yang ditampilkan bank atau aplikasi kerja Anda saat mendaftarkan autentikator.
Sensitif secara default: rahasia Base32 ditampilkan sebagai ketuk-untuk-tampilkan. Kami juga memvalidasi Base32 pada rahasia tersebut dan memberi peringatan keras jika formatnya salah, karena aplikasi autentikator menerima rahasia yang salah format secara diam-diam dan kemudian menghasilkan kode yang tidak pernah terverifikasi.
QR ekspor massal Google Authenticator. Memuat setiap rahasia 2FA dalam autentikator sekaligus, sebuah bundel protobuf dengan N entri OtpParameters.
Kami tampilkan (per entri): penerbit, akun, jenis (HOTP / TOTP), algoritma, digit, penghitung, plus metadata versi / batch. Pengungkapan ini mencantumkan "Hibah dalam bundel ini: ACME / alice@acme; GitHub / bob@github; โฆ" sehingga pengguna yang SEDANG dalam migrasi dapat mengaudit sebelum mengimpor.
Kami tidak pernah mendekode: byte seed rahasia yang sebenarnya. Diverifikasi melalui pengujian dengan string kanari yang tidak boleh muncul dalam output putusan apa pun.
Peringatan keras: kelas ancaman adalah likely_dangerous kecuali pengguna SEDANG dalam proses migrasi antar perangkat mereka sendiri.
Pesan login teks biasa yang ditandatangani dompet Anda untuk membuktikan kendali atas alamat dompet ke sebuah situs web.
Kami tampilkan: domain situs, alamat dompet, ID rantai, nonce, waktu kedaluwarsa.
Peringatan: baca situs dan pernyataan dengan seksama, situs berbahaya dapat menggunakan pesan SIWE yang ditandatangani untuk menyamar sebagai Anda di domain tersebut.
Perjalanan & tiket
IATA boarding pass (Resolution 792) โ๏ธ
QR / Aztec / PDF417 pada boarding pass penerbangan Anda. Header lebar tetap (60 karakter) ditambah 37 karakter data wajib per segmen.
Kami tampilkan (per segmen): kode maskapai + nomor penerbangan (tanpa nol awal), rute (FROM โ TO), tanggal (hari Julian โ ISO dengan penyesuaian tahun otomatis), kursi, kelas kompartemen, nomor urut, status (Boarded / Lounge access / Bypass security / dll.). Boarding pass multi-segmen mendapatkan awalan baris per segmen.
Sensitif secara default: PNR / kode pemesanan ditampilkan sebagai bidang bertopeng yang harus diketuk untuk diungkapkan; nama Anda ditambah PNR sudah cukup untuk mengakses pemesanan di sebagian besar situs maskapai. Jangan memposting foto boarding pass secara publik.
The QR you scan to install a phone plan. Format: LPA:1$<SM-DP+>$<AC-Token>[$<SM-DP+ OID>][$<CC required>].
Kami tampilkan: FQDN SM-DP+ (server operator yang akan berkomunikasi dengan ponsel Anda), kode aktivasi, flag kode konfirmasi diperlukan.
Peringatan: profil eSIM yang terinstal dapat mencegat SMS, termasuk kode 2FA berbasis SMS. Verifikasi bahwa SM-DP+ sesuai dengan operator Anda yang sebenarnya (Airalo, Saily, Truphone, Google Fi, dll.) terhadap daftar yang diizinkan sebelum menginstal.
Kode biner terkemas base38 berawalan MT: dari Connectivity Standards Alliance. Pemasangan rumah pintar lintas vendor, berfungsi di Apple Home, Google Home, Amazon Alexa, Samsung SmartThings.
Kami tampilkan: Vendor ID, Product ID, diskriminator, kode sandi pengaturan 8 digit (sensitif-tersamar), alur commissioning, tanda kemampuan penemuan (Soft-AP / BLE / jaringan IP yang ada), versi spesifikasi.
URI pengaturan aksesori Apple HAP. Mendahului Matter; masih disertakan pada banyak aksesori yang belum mendukung Matter.
Wi-Fi Easy Connect (DPP) ๐ก
Wi-Fi Alliance Device Provisioning Protocol, pengganti modern untuk WPS. Digunakan pada router era 2025 untuk pendaftaran perangkat berbasis QR.
Bluetooth Auracast (BAU v1.0) ๐ง
Skema QR Bluetooth SIG untuk siaran LE Audio. UUID layanan 184F mengidentifikasi Auracast; kami tampilkan nama siaran (didekode base64) dan status enkripsi.
URI permintaan pembayaran Ethereum dengan pemilihan chain. Kami mendekode penerima vs kontrak, chain ID dengan label yang dapat dibaca manusia (Ethereum mainnet, Optimism, Polygon, Base, Arbitrum, BNB Chain, Gnosis, Avalanche, Sepolia), nilai (wei โ ETH/Gwei format ringkas), nama pemanggilan fungsi, argumen transfer ERC-20.
Peringatan: pemanggilan kontrak tidak sama dengan pengiriman biasa, wallet drainer mengandalkan pengguna yang tidak memperhatikan perbedaannya.
WalletConnect (ERC-1328) ๐
URI pemasangan dAppโdompet. Kami tampilkan versi (v2 adalah yang terkini; v1 sudah usang dan lebih lemah), topik, protokol relay, kunci simetris sesi (disamarkan karena sensitif).
Solana Pay โ
URI permintaan transfer dari Solana Foundation. Kami tampilkan penerima, jumlah, mint token SPL, label, referensi, pesan, memo.
Lightning Network (BOLT-12, LNURL) โก
Penawaran BOLT-12 (lno1โฆ) adalah permintaan pembayaran Lightning yang dapat digunakan kembali. LNURL (lnurl1โฆ) meng-encode bech32 sebuah endpoint HTTPS yang dipanggil dompet Anda untuk mengambil faktur, menarik dana, membuka channel, atau autentikasi.
Cashu ecash ๐ช
Token ecash pembawa. Berbeda dari semua format kripto lainnya karena QR tersebut secara harfiah ADALAH uangnya, siapa pun yang memotretnya dapat membelanjakannya.
Sensitif secara default: string token disembunyikan; putusan memperingatkan dengan keras bahwa QR membawa nilai yang belum dibelanjakan.
nsec sensitif: kunci privat Nostr dalam QR berarti identitas pemegang telah terekam. Kami menandainya sebagai kebocoran kredensial.
Industri & regulasi
GS1 Digital Link ๐ฆ
Standar yang akan menggantikan barcode 1-D untuk produk konsumen. Application Identifier dalam jalur URL mengkodekan GTIN, batch / lot, tanggal produksi / kedaluwarsa, serial, dan lainnya.
Kami tampilkan: GTIN (01), batch / lot (10), tanggal produksi (11), best-before (15), kedaluwarsa (17), serial (21), dan AI tambahan sebagai field bernama.
Regulasi EU mewajibkan setiap produk konsumen untuk memiliki paspor digital (keberlanjutan, asal usul, info perbaikan) mulai 2027. Dibangun di atas URL GS1 Digital Link yang mengarah ke halaman paspor per produk.
QR itu sendiri saat ini didekode melalui penganalisis GS1 Digital Link kami; konten paspor di luar URL diterbitkan oleh masing-masing produsen.
Konfigurasi VPN WireGuard dalam format INI. Kami tampilkan alamat antarmuka, DNS, port mendengarkan, titik akhir peer, IP yang diizinkan, keepalive persisten, jumlah peer tambahan.
Sensitif secara default: kunci privat antarmuka dan kunci prabagi ditampilkan sebagai ketuk-untuk-tampilkan. Peringatan diberikan ketika allowed-IPs adalah 0.0.0.0/0 (terowongan penuh, setiap byte lalu lintas Anda melewati server milik orang lain).
SSH public key ๐
Format authorized_keys OpenSSH (ssh-ed25519 / ssh-rsa / ssh-ecdsa). Kami tampilkan algoritma, komentar, dan panjang kunci.
X.509 certificate / JWT ๐
Sertifikat X.509 berlapis PEM dan serialisasi kompak JWT mentah. Kami menelusuri sertifikat secara DER untuk mengekstrak Subject CN/O, Issuer CN, NotBefore/NotAfter, dan panjang bit kunci publik. Kami menandai sertifikat yang kedaluwarsa.
Privasi JWT: kami tampilkan alg + typ dari header tetapi TIDAK PERNAH mendekode klaim payload JWT, karena mungkin mengandung ID akun, cakupan, atau rahasia lain yang tidak seharusnya muncul dalam hasil pemindaian.
PGP key block ๐
Blok KUNCI PUBLIK/PRIBADI OpenPGP. Kami tampilkan format saja, materi kunci disembunyikan. Blok KUNCI PRIBADI mendapat peringatan keras "jangan bagikan QR ini".
Simbologi yang kami dekode (kode visual itu sendiri)
Simbologi adalah *wadah*, bentuk titik dan kotak. Standar di atas adalah *muatan*, isi di dalamnya. Scanner kami membaca setiap simbologi standar terbuka dan menyerahkan teks yang didekode ke analyzer yang tepat di atas.
QR Code (ISO/IEC 18004) โฌ
Model 1 (orisinal 1994), Model 2 (standar global saat ini), Micro QR (komponen kecil), dan Micro QR persegi panjang (rMQR, ISO/IEC 23941:2022, label sempit seperti tabung reaksi).
Aztec Code (ISO/IEC 24778) โฃ
Simbol dengan penanda bullseye yang digunakan pada tiket Eurostar, SBB, dan banyak tiket transit Eropa lainnya.
Simbologi format kecil berkepadatan tinggi. Digunakan oleh ritel GS1, farmasi DSCSA, pertahanan MIL-STD-130, penerbangan ATA Spec 2000, dan pelabelan produk darah ISBT 128.
EAN-13, EAN-8, UPC-A, UPC-E, Code 128, Code 39, Code 93, Codabar, ITF โ barcode linear yang tertera di setiap kasir supermarket dan label pengiriman.
Mengapa ini penting
Keamanan sebuah QR bukan sekadar keamanan URL-nya, melainkan keamanan standar yang mengatur isi di dalamnya. QR pembayaran berbahaya karena seseorang menukar stickernya; QR passkey berbahaya karena seseorang ingin masuk sebagai Anda; QR catatan vaksin berbahaya karena bergantung pada siapa yang memegang scanner yang membacanya. Kami memodelkan setiap jenis secara terpisah, berdasarkan model ancamannya masing-masing, dengan dekoding tingkat bidang, bukan tebakan.
Setiap penganalisis di atas terbuka tentang apa yang ditampilkan dan apa yang sengaja disembunyikan, sehingga Anda dapat memverifikasi klaim kami dengan membaca keluaran vonis, bukan dengan mempercayai kotak hitam.