Kod QR boleh membawa pautan web, kata laluan Wi-Fi, pembayaran, kad kenalan, pas naik kapal, rekod vaksin, lesen memandu, kod pasangan rumah pintar, dan berpuluh-puluh perkara lain. Kebanyakan pengimbas keselamatan hanya menyemak pautan web. Kami mengenal pasti dan menyemak semua jenis, dalam bahasa yang mudah difahami.
Memuatkanβ¦
Untuk setiap jenis kod QR, kami memberitahu anda apa itu, apa yang ada di dalamnya, dan sama ada selamat untuk bertindak β tanpa membocorkan maklumat peribadi anda dalam proses tersebut.
QR pada poster, meter parkir, atau meja restoran. Kami mengikuti setiap ubah hala, menamakan pemilik pemendek (Bitly, Linktree, TinyURL, berjenama), dan menandakan domain yang mirip serta tapak phishing yang diketahui. Jika pautan boleh berubah selepas QR dicetak, kami akan memberitahu anda β begitulah cara penipuan pertukaran pelekat berfungsi.
Butiran rangkaian Wi-Fi, nama (SSID), kata laluan, jenis keselamatan (WPA2/WPA3/WEP/Terbuka), bendera tersembunyi, dan kaedah EAP untuk rangkaian perusahaan. Kami menandakan rangkaian terbuka atau WEP dan memeriksa URL phishing yang tersembunyi di dalam nama rangkaian atau kata laluan.
Kad kenalan (vCard dan MeCard). Kami memaparkan semua medan yang ada dan menandakan URL atau nombor telefon dalam medan nama atau organisasi, yang merupakan vektor yang digunakan oleh beberapa kempen phishing.
Baca: adakah QR pembayaran merchant ini selamat untuk dibayar?
Permintaan pembayaran EMV/EMVCo β format yang digunakan oleh PromptPay, Pix, UPI, SEPA, dan kebanyakan apl pembayaran mudah alih Asia. Kami mengesahkan checksum, mendekod semua medan, dan menandakan sebarang medan pelanjutan yang luar biasa.
Alamat kripto dan permintaan pembayaran merentas Bitcoin, Ethereum, Solana, Monero, dan lebih 30 rangkaian lagi. Kami mengenal pasti rantaian, mendekod parameter permintaan pembayaran (jumlah, label, mesej), dan menandakan alamat penipu yang diketahui melalui ChainAbuse.
Jemputan acara (iCal / vEvent). Kami menunjukkan tarikh, masa, lokasi, dan penganjur β dan menandakan URL mesyuarat video terbenam, kerana QR jemputan palsu adalah vektor phishing yang popular.
Pautan mailto: yang dikodkan QR. Kami mendekod alamat kepada, tajuk, dan badan yang dipratentukan β dan menandakan percubaan suntikan pengepala dan alamat yang menggunakan unicode serupa untuk menyamar sebagai domain yang dipercayai.
QR yang ditunjukkan oleh aplikasi bank, Google, atau kerja anda semasa menyediakan pengautentik. Kami menyahkod penerbit dan akaun supaya anda dapat mengesahkan apa yang anda daftarkan, dan kami memberi amaran keras apabila seseorang cuba berkongsi bundle keseluruhan Google Authenticator mereka (satu QR yang menyimpan setiap kod 2FA yang mereka ada).
Baca: adakah eksport Google Authenticator selamat untuk diimbas?
QR yang ditunjukkan oleh komputer riba anda yang meminta telefon anda untuk menyelesaikan log masuk passkey. Kami memberi amaran keras jika anda bukan yang memulakan log masuk itu β mengimbas QR orang asing akan mendaftarkan mereka masuk ke dalam akaun anda. Turut mengesan helah yang sama pada WhatsApp Web, Telegram, Microsoft 365, Google, GitHub, AWS, Steam, Discord, Slack, dan Apple ID.
Kod bar di bahagian belakang lesen memandu AS dan Kanada (yang diimbas oleh bar dan kelab), serta lesen memandu mudah alih dari DMV negeri dan EU Digital ID Wallet. Kami memaparkan penerbit, jenis kelayakan, dan atribut yang dibawa β dan kami dengan sengaja tidak memaparkan nama, alamat, atau tarikh lahir pemegang.
Baca: apakah yang disimpan dalam kod bar di belakang lesen memandu?
SMART Health Cards (rekod vaksin, preskripsi, keputusan makmal) dan Sijil COVID Digital EU. Kami mengenal pasti jenis kelayakan dan penerbitnya, tetapi dengan sengaja tidak mendekod nama pesakit, tarikh lahir, atau sebarang butiran perubatan. Apl dompet anda adalah tempat yang sesuai untuk melihatnya, bukan halaman pengimbas awam.
QR pada pas naik kapal terbang anda. Nombor penerbangan, laluan, tarikh, tempat duduk, urutan β semua didekod supaya anda dapat mengesahkan pas tersebut. Kami menutup rujukan tempahan (PNR) secara lalai kerana sesiapa yang tahu nama anda dan PNR boleh mengakses tempahan anda. Jangan siarkan foto pas naik kapal di khalayak ramai.
QR pasangan Matter dan Apple HomeKit yang anda imbas untuk menambah peranti baru ke rumah anda. Kami mendekod vendor, produk, kod persediaan, dan jenis rangkaian yang akan dicuba β supaya pelekat yang diganti tidak boleh mendaftarkan peranti secara senyap ke rangkaian yang tidak anda kawal.
QR yang anda imbas untuk memasang pelan telefon. Kami memaparkan pelayan pengendali yang akan dihubungi, kod pengaktifan, dan sama ada kod pengesahan diperlukan. Amaran jelas bahawa eSIM yang dipasang boleh memintas SMS β termasuk kod 2FA yang anda terima melalui teks.
QR konfigurasi WireGuard. Kami menunjukkan alamat pelayan, IP yang dibenarkan, dan DNS β serta menandakan konfigurasi terowong penuh yang akan menghalakan setiap bait trafik anda melalui pelayan orang lain. Kunci peribadi dalam QR ditutup secara lalai.
QR GS1 Digital Link pada barangan pembungkusan β format yang akan menggantikan kod bar tradisional untuk produk harian menjelang 2027. Kami mendekod kod produk (GTIN), nombor kumpulan/lot, tarikh luput, dan siri, supaya anda dapat mengesahkan keaslian produk sekilas pandang.
QR pada invois Switzerland. Kami mendekod IBAN, nama dan alamat pemiutang, jumlah, mata wang, dan rujukan β supaya anda boleh membukanya dalam apl perbankan dengan gambaran penuh tentang penerima pembayaran.
Sesetengah format QR tidak sepatutnya dijalankan dari imbasan β javascript:, URI fail boleh laksana, dan gumpalan data yang dikodkan JavaScript. Kami menyekat keras format ini dan memberitahu anda sebabnya. Butang tindakan dilumpuhkan secara reka bentuk.
Token ecash Cashu adalah wang sebenar β sesiapa yang mengambil gambar QR boleh menggunakannya. Kami menandakan ini dengan nyaring. Titik akhir LNURL (log masuk Lightning, pengeluaran, bayaran) didekod supaya anda dapat melihat ke mana dompet anda akan disambungkan sebelum anda mengetik.
Apabila QR hanyalah teks biasa, kami tetap menyemaknya untuk URL terbenam, rahsia bocor (kunci API, JWT, kunci SSH), corak suntikan arahan AI yang menyasar pembantu hiliran, dan aksara unicode serupa yang menyamarkan pautan berbahaya.
"qr.abundera.ai/r/abc β walmart.com, bersih β"
Benar pada saat ini. Tetapi pelekat QR pada meter parkir menghalakan melalui pemendek terlebih dahulu. Pemegang akaun boleh menukar destinasi bila-bila masa. Cetak QR bersih hari ini, tukar sasaran ke halaman phishing esok β setiap imbasan seterusnya dari pelekat fizikal yang sama akan mendarat di phishing. Pengimbas URL tidak pernah memberitahu anda bahawa itu mungkin.
"Melalui pemendek. Pemilik akaun boleh menukar destinasi selepas cetak. Hari ini ia membawa ke walmart.com (bersih)."
Dua jawapan dalam satu verd. Sekarang: adakah ini selamat hari ini? Kemudian: siapa yang boleh mengubahnya esok? Kedua-duanya penting untuk QR pada permukaan yang dicetak yang tidak boleh dibatalkan.
Untuk kelayakan dan dokumen identiti, kami mengenal pasti jenis QR yang anda imbas, tetapi dengan sengaja tidak mendekod maklumat peribadi di dalamnya.
Apabila anda mengimbas eksport apl pengesah atau kod persediaan, kami mengenal pasti dan memberi amaran tentang mengimbas di tempat yang salah β tetapi benih rahsia sebenar tidak pernah didekod oleh pelayan kami. Ia pergi ke apl pengesah anda, bukan kami.
Rekod vaksin dan sijil kesihatan: kami memaparkan penerbit (kerajaan / pihak berkuasa kesihatan mana) dan jenis rekod itu. Nama, tarikh lahir, dan sejarah perubatan anda kekal di dalam kelayakan β tidak pernah dipantulkan semula melalui pengimbas kami.
Kami menunjukkan maklumat penerbangan supaya anda dapat mengesahkan pas, tetapi menutup rujukan tempahan di sebalik ketik-untuk-dedah supaya tangkap skrin verd kami bukan cara untuk mengakses tempahan anda.
Kunci peribadi WireGuard dan SSH dalam bentuk QR dipaparkan sebagai medan tertutup yang boleh anda ketik untuk dedah pada peranti anda. Ia tidak dihantar ke mana-mana pihak ketiga.
Beberapa format QR baru yang kami jejaki. Kami akan memasukkan setiap satu apabila piawai stabil.
Dompet identiti digital rentas sempadan EU (eIDAS 2.0) sedang dilancarkan 2024-2026. Kami sudah mendekod format lesen memandu mudah alih yang berkait rapat; varian dompet EU akan dilancarkan apabila pelancaran negara anggota stabil.
Peraturan EU memerlukan setiap produk pengguna membawa pasport digital (kemampanan, asal, maklumat pembaikan) menjelang 2027. Formatnya sudah menjadi URL GS1 Digital Link, yang kami dekod hari ini; permukaan pasport penuh semakin kaya apabila pengilang menerbitkan data mereka.
Bluetooth SIG sedang menyeragamkan format QR untuk pemasukan peranti rangkaian mesh (QR pasangan hari ini adalah khusus vendor). Kami akan menambah sokongan apabila spesifikasi dilancarkan.
QR Code, Aztec (pas naik kapal mudah alih), PDF417 (lesen memandu AS), Data Matrix (farma + runcit), Code 128/39/93, Codabar, EAN-13/8 (barangan runcit), UPC-A/E (runcit AS), ITF (kotak), MaxiCode (label penghantaran UPS), GS1 DataBar + DataBar Expanded (hasil bumi, kupon). Arahkan kamera ke mana-mana ini dan kami dekod + klasifikasikan muatan dengan cara yang sama seperti untuk QR.
Kami menjejaki setiap format kod bar yang mungkin ditemui pengguna. Format ini ada di radar kami tetapi tidak boleh dicapai dalam JavaScript pelayar hari ini β sama ada tiada dekoder produksi wujud, piawai hanya penyelidikan, atau format telah dihentikan. Kami akan melancarkan sokongan sebaik sahaja laluan yang berdaya maju terbuka (perpustakaan pelayar, apl asli, atau dekod pihak pelayan).
Simbol 2D nasional China (GB/T 21049-2007). Digunakan untuk logistik perindustrian dan dokumen kerajaan. Tiada dekoder JavaScript produksi tersedia hari ini; sokongan eksperimen wujud dalam zxing-cpp, yang akan dilancarkan apabila kami menambah apl Abundera QR Check asli (dirancang).
Kod bar 2D berwarna yang dipiawai oleh BSI Jerman untuk pembungkusan anti-pemalsuan. Pelaksanaan rujukan adalah kod C penyelidikan sahaja; tiada port JavaScript wujud. Memantau port yang diselenggara untuk dilancarkan.
Format cetakan perindustrian berkelajuan tinggi yang digunakan oleh sektor tembakau dan farmaseutikal. Tiada dekoder JavaScript membacanya dengan boleh dipercayai hari ini, walaupun dengan pelekat berkualiti. Di radar untuk tindanan apl asli.
PostNet, PLANET, Intelligent Mail (USPS), RM4SCC (Royal Mail), KIX (Dutch), Australia Post 4-State. Cukup niche sehingga tiada perpustakaan JavaScript yang diselenggara wujud. Jika kes penggunaan pelanggan muncul kami akan menilai dekoder apl asli atau pihak pelayan.
Microsoft menamatkan format kod bar berwarna ini pada 2015 bersama SDK pengimbas mereka. Tidak dapat disokong; dimasukkan di sini untuk kelengkapan supaya sesiapa yang memegang bahan pemasaran lama tahu ia tidak akan mengimbas.
Format 2D niche perindustrian. Tiada dekoder JavaScript produksi. Setiap satu cukup jarang di alam nyata sehingga kami hanya akan melabur jika pelanggan yang disahkan meminta.