Kod QR może zawierać link internetowy, hasło Wi-Fi, płatność, kartę kontaktową, kartę pokładową, kartę szczepień, prawo jazdy, kod parowania urządzenia smart home i dziesiątki innych danych. Większość skanerów bezpieczeństwa sprawdza wyłącznie linki internetowe. My identyfikujemy i sprawdzamy wszystkie typy, w przystępnym języku.
Ładowanie…
Dla każdego rodzaju kodu QR mówimy Ci, czym jest, co zawiera i czy bezpiecznie go użyć — bez ujawniania Twoich danych osobowych w tym procesie.
Kod QR na plakacie, parkomacie lub stoliku w restauracji. Śledzamy każde przekierowanie, identyfikujemy właściciela skracacza (Bitly, Linktree, TinyURL, markowe) i oznaczamy domeny łudząco podobne do znanych marek oraz znane strony phishingowe. Jeśli link może zmienić się po wydruku kodu QR, informujemy o tym — tak właśnie działają oszustwa z podmianą naklejek.
Kod QR z hotelu lub kawiarni. Pokazujemy nazwę sieci, typ zabezpieczeń i hasło, a także oznaczamy podróbki takie jak „Starbucks WiFi” czy „Airport Free WiFi”, które próbują skłonić Cię do połączenia z fałszywą siecią.
Przeczytaj: czy ten kod QR Wi-Fi jest bezpieczny do zeskanowania?
Kody QR do płatności w restauracjach, na stoiskach targowych i parkingi. Pokazujemy nazwę sprzedawcy, miasto, kraj, kwotę i walutę przed dokonaniem płatności, abyś mógł zweryfikować, komu płacisz. Obsługuje 54 kraje: PIX (Brazylia), UPI (Indie), PromptPay (Tajlandia), PayNow (Singapur), Bizum (Hiszpania), Swish (Szwecja) i wiele innych.
Przeczytaj: czy ten kod QR płatności do sprzedawcy jest bezpieczny?
Bitcoin, Ethereum, Solana, Lightning Network, Cashu i inne. Weryfikujemy adres, dekodujemy kwotę i wyraźnie ostrzegamy, gdy kod QR prosi portfel o wywołanie funkcji smart kontraktu (często początek ataku drainer), a nie o zwykły przelew.
Kod QR „zapisz mój kontakt” z wizówki. Imię, telefon, e-mail, organizacja, adres, profile społecznościowe, urodziny, notatki — wszystko pokazane jako ustrukturyzowana karta, którą możesz dodać do telefonu jednym dotknięciem. Nazwy łudząco podobne do znanych marek są oznaczane.
Kody QR z zaproszań ślubnych, identyfikatorów konferencyjnych i biletów. Tytuł, godzina rozpoczęcia, zakończenia, cykl (tygodniowy, miesięczny), lokalizacja, organizator, uczestnicy — wszystko zdekodowane, abyś przed kliknięciem Akceptuj widział dokładnie, co zostanie dodane do Twojego kalendarza.
Kody QR do szybkiego dzwonienia, wysyłania SMS-ów i e-maili. Oznaczamy numery premium (te, które naliczają opłaty za minutę), zagraniczne krótkie numery stosowane w oszustwach oraz wypełnione z góry tematy e-maili, które próbują nakłonić Cię do wysłania poufnych informacji.
Kod QR pokazywany przez bank, Google lub aplikację firmową podczas konfigurowania aplikacji do uwierzytelniania. Dekodujemy wystawce i konto, abyś mógł potwierdzić, co rejestrujesz, i wyraźnie ostrzegamy, gdy ktoś próbuje udostępnić cały pakiet Google Authenticator (jeden kod QR zawierający wszystkie jego kody 2FA).
Przeczytaj: czy eksport Google Authenticator jest bezpieczny do zeskanowania?
Kod QR wyświetlany przez laptop, który prosi telefon o dokończenie logowania za pomocą klucza dostępu. Wyraźnie ostrzegamy, jeśli to nie Ty rozpocząłeś logowanie — zeskanowanie cudzego kodu QR uwierzytelnia jego dostęp do Twojego konta. Wykrywamy też ten sam trick w WhatsApp Web, Telegram, Microsoft 365, Google, GitHub, AWS, Steam, Discord, Slack i Apple ID.
Przeczytaj: czy powinienem zeskanować ten kod QR logowania przez klucz dostępu?
Kod kreskowy z tyłu praw jazdy wydanych w USA i Kanadzie (ten, ktory skanują bary i kluby), a także mobilne prawa jazdy z DMV stanowych i portfele EU Digital ID. Pokazujemy wystawce, rodzaj dokumentu i zawarte atrybuty, ale celowo nigdy nie ujawniamy imienia, adresu ani daty urodzenia posiadacza.
Karty zdrowia SMART (karty szczepień, recepty, wyniki badań) oraz unijne cyfrowe certyfikaty COVID. Identyfikujemy rodzaj dokumentu i wystawce, ale celowo nie dekodujemy danych pacjenta: imienia, daty urodzenia ani szczegółów medycznych. Właściwym miejscem do ich przeglądania jest Twoja aplikacja portfela, nie publiczna strona skanera.
Kod QR na karcie pokładowej linii lotniczej. Numer lotu, trasa, data, miejsce, kolejność — wszystko zdekodowane, abyś mógł zweryfikować kartę. Domyślnie maskujemy numer rezerwacji (PNR), ponieważ każdy znający Twoje imię i PNR może uzyskać dostęp do Twojej rezerwacji. Nie publikuj zdjęć kart pokładowych.
Przeczytaj: co jest zakodowane w kodzie kreskowym karty pokładowej?
Kody QR do parowania urządzeń Matter i Apple HomeKit. Dekodujemy producenta, produkt, kod konfiguracyjny i obsługiwane typy sieci, aby podmieniona naklejka nie mogła po cichu podłączyć urządzenia do sieci bez Twojej wiedzy.
Kody QR do aktywacji karty SIM. Pokazujemy serwer operatora, kod aktywacyjny i czy wymagany jest kod potwierdzający. Wyraźnie ostrzegamy, że zainstalowana eSIM może przechwytować SMS-y, w tym kody 2FA otrzymywane przez wiadomości tekstowe.
Kody QR konfiguracji WireGuard. Pokazujemy adres serwera, dozwolone adresy IP i DNS, oraz oznaczamy konfiguracje pełnego tunelu, które przekierowują cały ruch przez cudzy serwer. Klucz prywatny w kodzie QR jest domyślnie maskowany.
Kody QR GS1 Digital Link na produktach paczkowanych — format, który do 2027 roku zastąpi tradycyjne kody kreskowe. Dekodujemy kod produktu (GTIN), numer partii/serii, datę ważności i numer seryjny, abyś mógł jednym spojrzeniem zweryfikować autentyczność produktu.
Kod QR na szwajcarskich fakturach. Dekodujemy IBAN, nazwę i adres wierzyciela, kwotę, walutę i numer referencyjny, abyś mógł otworzyć fakturę w aplikacji bankowej z pełną wiedzą o odbiorcy płatności.
Niektóre formaty QR nigdy nie powinny być uruchamiane po zeskanowaniu — javascript:, URI plików wykonywalnych i zakodowane w JavaScript bloki danych. Blokujemy je i wyjaśniamy dlaczego. Przycisk akcji jest celowo wyłączony.
Tokeny Cashu ecash to dosłownie pieniądze — każdy, kto sfotografuje kod QR, może je wydać. Wyraźnie o tym ostrzegamy. Punkty końcowe LNURL (logowanie przez Lightning, wypłaty, płatności) są dekodowane, abyś przed kliknięciem wiedział, z czym połączy się Twój portfel.
Gdy kod QR zawiera tylko zwykły tekst, nadal sprawdzamy go pod kątem osadzonych adresów URL, wycieków tajnych danych (klucze API, JWT, klucze SSH), wzorca prompt injection dla AI skierowanego do dalszych asystentów oraz znaków unicode wyglądających podobnie do liter, które maskują niebezpieczne linki.
"qr.abundera.ai/r/abc → walmart.com, czyste ✓"
Prawda w tej chwili. Ale naklejka z kodem QR na parkomacie przekierowuje najpierw przez skracacza. Właściciel konta może zmienić cel w dowolnym momencie. Wydrukuj dziś czysty kod QR, jutro zmień cel na stronę phishningową — każde kolejne zeskanowanie tej samej fizycznej naklejki trafia na phishing. Skaner adresów URL nigdy Ci o tym nie mówi.
"Przekierowuje przez skracacza. Właściciel konta może zmienić cel po wydruku. Dziś prowadzi do walmart.com (czyste)."
Dwie odpowiedzi w jednym wyniku. Teraz: czy to jest bezpieczne dziś? Później: kto może to zmienić jutro? Obie kwestie mają znaczenie dla kodu QR na powierzchni drukowanej, której nie możesz cofnąć.
W przypadku dokumentów tożsamości identyfikujemy rodzaj zeskanowanego kodu QR, ale celowo nie dekodujemy zawartych w nim danych osobowych.
Gdy skanujesz eksport aplikacji uwierzytelniającej lub kod konfiguracyjny, identyfikujemy go i ostrzegamy przed skanowaniem w nieodpowiednim miejscu — ale rzeczywiste sekrety TOTP nigdy nie są dekodowane przez nasz serwer. Trafiają do Twojej aplikacji uwierzytelniającej, nie do nas.
Karty szczepień i certyfikaty zdrowotne: pokazujemy wystawce (rząd lub organ zdrowotny) i rodzaj dokumentu. Twoje imię, data urodzenia i historia medyczna pozostają wewnątrz dokumentu i nigdy nie są odsyłane przez nasz skaner.
Pokazujemy informacje o locie, abyś mógł zweryfikować kartę, ale maskujemy numer rezerwacji za przyciskiem „dotkniąć, aby odsłonić” — zrzut ekranu naszego wyniku nie jest sam w sobie sposobem na dostęp do Twojej rezerwacji.
Klucze prywatne WireGuard i SSH w formie kodów QR są wyświetlane jako maskowane pola, które możesz odsłonić na swoim urządzeniu. Nie są wysyłane do żadnej strony trzeciej.
Kilka nowych formatów QR, które obserwujemy. Każdy dodamy po ustabilizowaniu się standardu.
Unijny transgraniczny portfel cyfrowej tożsamości (eIDAS 2.0) jest wdrażany w latach 2024–2026. Już dziś dekodujemy ściśle powiązany format mobilnych praw jazdy; wariant portfela UE trafi do nas, gdy wdrożenia w państwach członkowskich się ustabilizują.
Przepisy UE wymagają, by do 2027 roku każdy produkt konsumencki posiadał cyfrowy paszport (zrównoważoność, pochodzenie, informacje o naprawie). Format jest już dziś adresem URL GS1 Digital Link, który dekodujemy — pełna powierzchnia paszportu staje się bogatsza w miarę publikowania danych przez producentów.
Bluetooth SIG standaryzuje format QR do uruchamiania urządzeń w sieci mesh (obecne kody parowania są specyficzne dla producenta). Dodamy obsługę po opublikowaniu specyfikacji.
QR Code, Aztec (mobilne karty pokładowe), PDF417 (prawa jazdy w USA), Data Matrix (farmacja i handel detaliczny), Code 128/39/93, Codabar, EAN-13/8 (sklepy spożywcze), UPC-A/E (handel detaliczny w USA), ITF (kartony), MaxiCode (etykiety przesyłek UPS), GS1 DataBar + DataBar Expanded (produkty, kupony). Skieruj kamerę na dowolny z nich, a my zdekodujemy i sklasyfikujemy zawartość tak samo jak w przypadku QR.
Śledzimy każdy format kodów kreskowych, z jakim użytkownicy mogą się zetknąć. Te formaty są nam znane, ale dziś niedostępne w przeglądarce JavaScript — albo nie istnieje produkcyjny dekoder, albo standard jest wyłącznie badawczy, albo format jest wycofany. Dodamy obsługę, gdy tylko pojawi się realna ścieżka (biblioteka przeglądarkowa, aplikacja natywna lub dekodowanie po stronie serwera).
Chiński krajowy standard 2D (GB/T 21049-2007). Stosowany w logistyce przemysłowej i dokumentach rządowych. Żaden produkcyjny dekoder JavaScript nie obsługuje go dziś — eksperymentalne wsparcie istnieje w zxing-cpp, które trafi do aplikacji, gdy udostępnimy natywną aplikację Abundera QR Check (w planach).
Kolorowy kod 2D znormalizowany przez niemieckie BSI do antypodrobieniowego pakowania. Referencyjna implementacja to jedynie kod badawczy w C; nie istnieje port JavaScript. Czekamy na utrzymaną wersję.
Format druku przemysłowego wysokich prędkości stosowany przez sektory tytoniowy i farmaceutyczny. Żaden istniejący dekoder JavaScript nie odczytuje go dziś wiarygodnie. Obserwujemy go pod kątem stosu natywnych aplikacji.
PostNet, PLANET, Intelligent Mail (USPS), RM4SCC (Royal Mail), KIX (holenderski), Australia Post 4-State. Wystarczająco niszowe, by nie istniały utrzymywane biblioteki JavaScript. W razie pojawienia się konkretnego przypadku użycia rozważymy dekoder w natywnej aplikacji lub po stronie serwera.
Microsoft wycofał ten kolorowy format kodów kreskowych w 2015 roku wraz z SDK skanera. Nie ma możliwości jego obsługi; wymieniony tutaj dla kompletności, aby użytkownicy ze starymi materiałami marketingowymi wiedzieli, że nie da się ich zeskanować.
Przemysłowe niszowe formaty 2D. Brak produkcyjnych dekoderów JavaScript. Każdy z nich jest wystarczająco rzadki, że inwestycja nastąpiłaby jedynie na zweryfikowane życzenie klienta.