Każdy standard QR, który rozpoznajemy — z objaśnieniami
Kod QR to pojemnik. W środku może być płatność, karta szczepień, prawo jazdy, eSIM, logowanie kluczem dostępu, parowanie inteligentnego domu — każdy rządzony własnym standardem międzynarodowym i własnym modelem zagrożeń. To jest autorytatywne odniesienie dla każdego standardu identyfikowanego przez nasz skaner: co naprawdę jest w środku, gdy go skanujesz, i dokładnie co wyświetlamy, a co celowo maskujemy.
Każdy QR, który skanujesz, by zapłacić sprzedawcy w ciągu ostatnich pięciu lat, działa na ramkowaniu TLV EMVCo, ale zawartość jest specyficzna dla danego kraju. Identyfikujemy konkretny schemat, dekodujemy pola sprzedawcy, które musisz zweryfikować przed płatnością, i walidujemy sumę CRC, której atakujący zamieniający naklejki nie mogą sfałszować.
EMVCo MPM / CPM 💳
Podstawowy standard dla każdej płatności QR prezentowanej przez sprzedawcę na całym świecie. Ramkowanie Tag-Length-Value przenoszące nazwę i miasto sprzedawcy, kraj, walutę, kwotę, dane konta odbiorcy i sumę kontrolną CRC-16/CCITT-FALSE.
Wyświetlamy: nazwę i miasto sprzedawcy, kraj, walutę ISO 4217 (pełna tabela, 169 kodów), kategorię MCC, kwotę, dynamiczny vs statyczny, wskaźnik napiwku, podpola danych dodatkowych (etykieta referencyjna, numer rachunku, etykieta klienta, etykieta terminala, cel).
Ocena zagrożenia: nieprawidłowa suma CRC → podejrzane (QR został zmieniony lub uszkodzony — najbardziej wiarygodny sygnał zamiany naklejki).
Schemat płatności natychmiastowych brazylijskiego Banku Centralnego. Światowy lider pod względem wolumenu transakcji. Dwa warianty: statyczny (QR wielokrotnego użytku) i dynamiczny (jednorazowy QR z osadzonym ID transakcji).
Wyświetlamy: klucz Pix odbiorcy (CPF / CNPJ / e-mail / telefon / UUID EVP), opis płatności, URL dynamicznego QR (jeśli dostępny).
Ujednolicony interfejs płatności Indii, największy pod względem liczby użytkowników. Wirtualny adres płatności UPI (VPA) kieruje płatności między bankami w czasie rzeczywistym.
Wyświetlamy: VPA odbiorcy, nazwę odbiorcy, kwotę, walutę, referencję transakcji, MCC, notatkę do transakcji.
ISO 20022 SPC v2.2, nie EMVCo. Zastępuje pomarańczowo/czerwony szwajcarski druk płatności. 33 pola rozdzielone znakiem nowej linii, obejmujące wierzyciela, ostatecznego wierzyciela, ostatecznego dłużnika, typ referencji (QRR / SCOR / NON), informacje o rachunku i procedury alternatywne.
Fakturowanie z podpisem kryptograficznym, obowiązkowe przy każdej transakcji handlowej w Królestwie. Kodowane TLV z pięcioma wymaganymi tagami (sprzedawca, numer VAT, znacznik czasu, suma, kwota VAT) oraz podpisem ECDSA.
Wyświetlamy: nazwę sprzedawcy, numer rejestracji VAT, znacznik czasu ISO 8601, sumę faktury, kwotę VAT.
I wiele więcej: identyfikujemy krajowe schematy płatności dla 54 krajów, PromptPay (Tajlandia), PayNow (Singapur), DuitNow (Malezja), QRIS (Indonezja), Bizum (Hiszpania), Swish (Szwecja), MB WAY (Portugalia), BLIK (Polska), Wero (UE) i dziesiątki innych ujętych w katalogu analizatorów.
Poświadczenia zdrowotne
Karty szczepień, recepty, wyniki badań i certyfikaty podróżne. Kryptograficznie podpisane przez krajowe organy zdrowia. Identyfikujemy poświadczenie i wyświetlamy wystawcę + typ, ale celowo nigdy nie dekodujemy imienia i nazwiska pacjenta, daty urodzenia ani historii medycznej. Twoja aplikacja portfela to właściwe miejsce do przeglądania tych danych.
SMART Health Cards 🩺
JWS zakodowany numerycznie, opakowujący skompresowany przez DEFLATE ładunek JSON z zasobami FHIR. Używany przez Apple Wallet, Common Trust Network, stany USA, prowincje Kanady i kilka sieci aptecznych do przechowywania kart szczepień i wyników badań.
Wyświetlamy: URL wydawcy, znacznik czasu wystawienia w formacie ISO, typ poświadczenia (covid19 / immunization / lab / itp.), wersję FHIR, liczbę i typy zasobów.
Nigdy nie dekodujemy: imienia i nazwiska pacjenta, daty urodzenia, dat szczepienia/testu ani treści poszczególnych zasobów FHIR. Objęte bramką testową w zestawie analizatorów.
EU Digital COVID Certificate (HC1) 🇪🇺
Prefiks HC1: opakowuje łańcuch base45 → DEFLATE → COSE_Sign1 → CBOR → CWT kończący się na roszczeniu HCERT zdefiniowanym przez UE. Nadal używany do dokumentów podróżnych niezwiązanych z COVID w niektórych państwach członkowskich po zakończeniu stanu nadzwyczajnego.
Wyświetlamy: kraj wydania (ISO 3166-1), znacznik czasu 'nie przed', znacznik czasu wygaśnięcia, wersję schematu, rodzaj poświadczenia (szczepienie / test / rekonwalescencja), chorobę docelową (SNOMED-CT, wyświetlane jako 'COVID-19', nie surowy kod 840539006), kraj szczepienia/testu, organizację wydającą, numer dawki / łączną liczbę, typ testu, wynik testu.
Nigdy nie dekodujemy: imienia i nazwiska pacjenta, daty urodzenia, dat dawek, unikalnego ID certyfikatu (UVCI). Objęte bramką testową.
Dokumenty tożsamości
Prawa jazdy, mobilne dokumenty tożsamości i cyfrowe portfele tożsamości. Kod kreskowy na odwrocie prawa jazdy z USA zawiera wszystkie pola z przodu. QR mobilnego prawa jazdy przesyła uścisk dłoni połączenia, aby weryfikator mógł połączyć się przez NFC/BLE i odczytać atrybuty.
AAMVA driver license 🪪
Kod kreskowy PDF417 na odwrocie każdego prawa jazdy w USA i Kanadzie. Format podpliku zgodny z dodatkiem D.12.5 do AAMVA Card Design Standard.
Wyświetlamy (~17 pól): imię, drugie imię i nazwisko, datę urodzenia w formacie ISO, płeć, wzrost, kolor oczu, numer prawa jazdy (zasłonięty), kategorię prawa jazdy, ograniczenia, uprawnienia dodatkowe, datę ważności, datę wystawienia, pełny adres, kraj, flagę dawcy narządów, flagę weterana, próg 'do 21 lat'.
Domyślnie poufne: numer prawa jazdy i data urodzenia wyświetlane są jako pola zasłonięte (odkrywane dotykiem), by zrzut ekranu werdyktu sam w sobie nie był wyciekiem tożsamości. Ostrzeżenie prywatności przypomina, że bary i kluby skanujące dokumenty tożsamości otrzymują WSZYSTKIE te dane, nie tylko wiek posiadacza.
QR mdoc:, który Twoje mobilne prawo jazdy na iOS/Android wyświetla weryfikatorowi. CBOR DeviceEngagement z selektorem zestawu szyfrowego, efemerycznym kluczem publicznym posiadacza i listą metod transferu dostępnych dla weryfikatora.
Wyświetlamy: wersję protokołu, zestaw szyfrowy (P-256 ECDH-ES + A256KW to dziś obowiązkowy), obsługiwane metody transferu (NFC / BLE / Wi-Fi Aware), host odczytu serwerowego (jeśli dostępny).
Nigdy nie dekodujemy: bajtów efemerycznego klucza publicznego posiadacza (wyświetlana jest tylko długość). Rzeczywiste atrybuty mDL przesyłane są przez negocjowany kanał po połączeniu weryfikatora — nigdy przez ten skaner.
Schematy OpenID4VP i eudi-openid4vp do trans granicznych prezentacji tożsamości. Wdrożenia w państwach członkowskich trwają od 2024 do 2026 roku.
Wyświetlamy: rodzinę protokołów (openid4vp / eudi-openid4vp / mdoc-openid4vp / siopv2), client_id, nazwę hosta response_uri, nazwę hosta request_uri dla przepływów z podpisanym żądaniem, response_mode.
DID URIs 🔑
Zdecentralizowane identyfikatory: did:web, did:key, did:ion, did:ebsi i inne metody.
Wyświetlamy: metodę DID, identyfikator specyficzny dla metody, parametr usługi, odniesienie względne, fragment weryfikacyjny.
Uwierzytelnianie i klucze dostępu
Przepływy logowania przez QR, które chronią (lub narażają) każde Twoje konto. Identyfikujemy każdy rodzaj i wyraźnie ostrzegamy, gdy QR prosi Cię o dokończenie logowania kogoś innego zamiast Twojego własnego.
FIDO CTAP 2.2 hybrid 🗝️
QR między urządzeniami do klucza dostępu, który Twój laptop wyświetla podczas logowania kluczem dostępu na telefonie. Mapa CBOR zakodowana w base10 z publicznym kluczem partnera, sekretem QR, wskazówką operacji, domeną serwera tunelowego, znacznikiem czasu i flagą wspomagania stanu.
Wyświetlamy: operację (make-credential / get-assertion / discoverable), domenę serwera tunelowego (np. cable.ua5v.com), znacznik czasu ISO, obsługę wspomagania stanu, długość klucza publicznego partnera, długość sekretu QR.
Poważne ostrzeżenie: zeskanowanie tego QR kończy logowanie, które ktoś ROZPOCZĄŁ NA INNYM URZĄDZENIU. Jeśli sam nie zainicjowałeś logowania kluczem dostępu, odmów — zalogowałbyś do swojego konta osobę, która wygenerowała ten QR.
Kody jednorazowe do konfiguracji RFC 4226 / RFC 6238. URI otpauth://, który Twój bank lub aplikacja służbowa wyświetla podczas rejestrowania aplikacji authenticator.
Domyślnie poufny: sekret Base32 wyświetlany jako pole zasłonięte (odkrywane dotykiem). Walidujemy też sekret w Base32 i wyraźnie ostrzegamy, gdy jest nieprawidłowo sformułowany — aplikacje authenticator akceptują błędne sekrety po cichu, a następnie generują kody, które nigdy się nie weryfikują.
QR masowego eksportu Google Authenticator. Przenosi wszystkie sekrety 2FA z aplikacji authenticator naraz — pakiet protobuf z N wpisami OtpParameters.
Wyświetlamy (na wpis): wydawcę, konto, typ (HOTP / TOTP), algorytm, cyfry, licznik oraz metadane wersji/partii. Ujawnienie wylicza 'Przyznane w tym pakiecie: ACME / alice@acme; GitHub / bob@github; ...', aby użytkownik w trakcie migracji mógł sprawdzić dane przed importem.
Nigdy nie dekodujemy: rzeczywistych bajtów sekretu seed. Zweryfikowane testami z ciągami kanarkowymi, które nigdy nie mogą pojawić się w żadnym werdykcie.
Poważne ostrzeżenie: klasa zagrożenia to likely_dangerous, chyba że użytkownik DOSŁOWNIE jest w trakcie migracji między własnymi urządzeniami.
Wiadomość tekstowa logowania, którą Twój portfel podpisuje, by udowodnić kontrolę nad adresem portfela witrynie.
Wyświetlamy: domenę witryny, adres portfela, ID sieci, nonce, czas wygaśnięcia.
Ostrzeżenie: uważnie przeczytaj witrynę i treść — złośliwa witryna może użyć podpisanej wiadomości SIWE, by podszyć się pod Ciebie w tej domenie.
Podróże i bilety
IATA boarding pass (Resolution 792) ✈️
QR / Aztec / PDF417 na Twojej lotniczej karcie pokładowej. Nagłówek o stałej szerokości (60 znaków) plus 37 obowiązkowych znaków danych na segment.
Wyświetlamy (na segment): kod przewoźnika + numer lotu (bez zer wiodących), trasę (Z → DO), datę (dzień juliański → ISO z inteligentnym przesunięciem roku), miejsce, klasę kabiny, numer kolejny, status (Weszedł na pokład / Dostęp do salonu / Pominięcie kontroli / itp.). Karty wielosegmentowe otrzymują prefiksy wierszy per segment.
Domyślnie poufne: PNR / numer rezerwacji wyświetlany jako pole zasłonięte (odkrywane dotykiem) — Twoje imię i nazwisko oraz PNR wystarczą, by uzyskać dostęp do rezerwacji na większości stron linii lotniczych. Nie publikuj zdjęć kart pokładowych.
The QR you scan to install a phone plan. Format: LPA:1$<SM-DP+>$<AC-Token>[$<SM-DP+ OID>][$<CC required>].
Wyświetlamy: FQDN SM-DP+ (serwer operatora, który będzie komunikował się z Twoim telefonem), kod aktywacji, flagę wymaganego kodu potwierdzającego.
Ostrzeżenie: zainstalowany profil eSIM może przechwytywać SMS-y, w tym kody 2FA oparte na SMS. Przed instalacją sprawdź, czy SM-DP+ odpowiada Twojemu rzeczywistemu operatorowi (Airalo, Saily, Truphone, Google Fi itp.) na liście dozwolonych.
Kod spakowany binarnie w formacie base38 z prefiksem MT:- od Connectivity Standards Alliance. Parowanie inteligentnego domu wielu producentów — działa w Apple Home, Google Home, Amazon Alexa, Samsung SmartThings.
Wyświetlamy: ID producenta, ID produktu, dyskryminator, 8-cyfrowy kod konfiguracji (zasłonięty), przepływ uruchamiania, flagi możliwości wykrywania (Soft-AP / BLE / istniejąca sieć IP), wersję specyfikacji.
URI konfiguracji akcesoriów Apple HAP. Poprzedza Matter; nadal stosowany w wielu akcesoriach, które jeszcze nie obsługują Matter.
Wi-Fi Easy Connect (DPP) 📡
Protokół Wi-Fi Alliance Device Provisioning Protocol, nowoczesne następstwo WPS. Używany w routerach z 2025 roku do konfiguracji urządzeń przez QR.
Bluetooth Auracast (BAU v1.0) 🎧
Schemat QR Bluetooth SIG dla transmisji LE Audio. Service UUID 184F identyfikuje Auracast; wyświetlamy nazwę transmisji (zdekodowaną z base64) i stan szyfrowania.
Kryptowaluty i Lightning
Bitcoin (BIP-21) ₿
Standardowy URI płatności Bitcoin. Wyświetlamy adres, kwotę (z jednostką BTC/sat), etykietę, wiadomość, punkt końcowy PayJoin (pj=), URL żądania płatności BIP-72 (r=), wymagane parametry (req-*), rezerwę Lightning.
Ethereum (EIP-681) ⟠
URI żądania płatności Ethereum z wyborem sieci. Dekodujemy odbiorcę vs kontrakt, ID sieci z etykietą (Ethereum mainnet, Optimism, Polygon, Base, Arbitrum, BNB Chain, Gnosis, Avalanche, Sepolia), wartość (wei → ładny wydruk ETH/Gwei), nazwę wywołanej funkcji, argumenty transferu ERC-20.
Ostrzeżenie: wywołanie kontraktu to nie to samo co zwykłe wysłanie — drainery portfeli polegają na tym, że użytkownicy nie zauważają różnicy.
WalletConnect (ERC-1328) 🔗
URI parowania dApp↔portfela. Wyświetlamy wersję (v2 jest aktualna; v1 jest przestarzała i mniej bezpieczna), temat, protokół przekaźnikowy, symetryczny klucz sesji (zasłonięty).
Solana Pay ◎
URI żądania transferu Solana Foundation. Wyświetlamy odbiorcę, kwotę, adres mint tokenu SPL, etykietę, odniesienie, wiadomość, memo.
Lightning Network (BOLT-12, LNURL) ⚡
Oferty BOLT-12 (lno1…) to wielokrotnego użytku żądania płatności Lightning. LNURL (lnurl1…) koduje w bech32 punkt końcowy HTTPS, który Twój portfel wywołuje, aby pobrać fakturę, wypłatę, otwarcie kanału lub autoryzację.
Cashu ecash 🪙
Token ecash na okaziciela. Wyróżnia się spośród wszystkich innych formatów kryptowalutowych tym, że QR dosłownie JEST pieniędzmi — każdy, kto go sfotografuje, może go wydać.
Domyślnie poufne: ciąg tokenu zasłonięty; werdykt wyraźnie ostrzega, że QR zawiera niewydane środki.
nsec poufny: klucz prywatny Nostr w QR oznacza, że tożsamość posiadacza została przechwycona. Oznaczamy to jako wyciek poświadczeń.
Przemysłowe i regulacyjne
GS1 Digital Link 📦
Standard, który zastąpi 1-D kody kreskowe przy produktach konsumenckich. Identyfikatory aplikacji w ścieżce URL kodują GTIN, partię/lot, datę produkcji/ważności, numer seryjny i inne dane.
Wyświetlamy: GTIN (01), partię/lot (10), datę produkcji (11), termin przydatności (15), datę ważności (17), numer seryjny (21) i dodatkowe AI jako nazwane pola.
Przepisy UE wymagają, aby każdy produkt konsumencki posiadał cyfrowy paszport (informacje o zrównoważonym rozwoju, pochodzeniu i naprawie) od 2027 roku. Oparty na URL-ach GS1 Digital Link prowadzących do stron paszportów poszczególnych produktów.
Sam QR jest dziś dekodowany przez nasz analizator GS1 Digital Link; treść paszportu poza URL-em jest publikowana przez każdego producenta.
Konfiguracja VPN WireGuard w formacie INI. Wyświetlamy adres interfejsu, DNS, port nasłuchu, punkt końcowy peer, dozwolone IP, stały keepalive, liczbę dodatkowych peerów.
Domyślnie poufne: klucz prywatny interfejsu i klucz współdzielony wyświetlane jako pola zasłonięte (odkrywane dotykiem). Ostrzeżenie, gdy allowed-IPs wynosi 0.0.0.0/0 (pełny tunel — każdy bajt Twojego ruchu przechodzi przez cudzy serwer).
SSH public key 🔑
Format authorized_keys OpenSSH (ssh-ed25519 / ssh-rsa / ssh-ecdsa). Wyświetlamy algorytm, komentarz i długość klucza.
X.509 certificate / JWT 📜
Certyfikaty X.509 w formacie PEM i surowe kompaktowe serializacje JWT. Przeglądamy DER certyfikatu, by wyodrębnić Subject CN/O, CN wystawcy, NotBefore/NotAfter i długość bitu klucza publicznego. Oznaczamy wygasłe certyfikaty.
Prywatność JWT: wyświetlamy alg + typ z nagłówka, ale NIGDY nie dekodujemy roszczeń ładunku JWT — mogą zawierać ID kont, zakresy lub inne sekrety, które nie powinny pojawiać się w wynikach skanowania.
PGP key block 🔑
Blok PUBLICZNEGO/PRYWATNEGO klucza OpenPGP. Wyświetlamy tylko format — materiał klucza jest zasłonięty. Bloki KLUCZA PRYWATNEGO otrzymują głośne ostrzeżenie 'nie udostępniaj tego QR'.
Symboliki, które dekodujemy (sam kod wizualny)
Symbolika to *pojemnik* — kształt kropek i kwadratów. Powyższe standardy to *ładunek* — co jest w środku. Nasz skaner odczytuje każdą otwartą symbolikę standardową i przekazuje zdekodowany tekst do odpowiedniego analizatora powyżej.
QR Code (ISO/IEC 18004) ⬛
Model 1 (oryginał z 1994 r.), Model 2 (obecny standard globalny), Micro QR (małe komponenty) i prostokątny Micro QR (rMQR, ISO/IEC 23941:2022, wąskie etykiety jak probówki).
Aztec Code (ISO/IEC 24778) ▣
Symbolika z znacznikiem celowniczym używana na kartach pokładowych Eurostar, SBB i wielu europejskich przewoźników tranzytowych.
Gęsta symbolika małego formatu. Używana w handlu detalicznym GS1, farmacji DSCSA, obronności MIL-STD-130, lotnictwie ATA Spec 2000 i etykietowaniu produktów krwiopochodnych ISBT 128.
EAN-13, EAN-8, UPC-A, UPC-E, Code 128, Code 39, Code 93, Codabar, ITF — liniowe kody kreskowe widoczne przy każdej kasie spożywczej i na każdej etykiecie wysyłkowej.
Dlaczego to ma znaczenie
Bezpieczeństwo QR to nie bezpieczeństwo jego URL — to bezpieczeństwo standardu rządzącego tym, co jest w środku. QR płatności jest niebezpieczny, bo ktoś zamienił naklejkę; QR klucza dostępu jest niebezpieczny, bo ktoś chce zalogować się jako Ty; QR karty szczepień jest niebezpieczny ze względu na to, kto trzyma skaner. Modelujemy każdy z nich oddzielnie, według własnego modelu zagrożeń, z dekodowaniem na poziomie pól zamiast zgadywania.
Każdy analizator powyżej jest przejrzysty co do tego, co wyświetla, a co celowo maskuje — możesz zweryfikować nasze twierdzenia, czytając werdykt, nie ufając czarnej skrzynce.