What's encoded in a Wi-Fi QR code?

A Wi-Fi QR uses the WIFI: URI scheme (originally a ZXing convention, since standardized by the Wi-Fi Alliance). It encodes the network name (SSID), security type (WPA / WPA2 / WPA3 / WEP / nopass for open), the password, and a hidden-network flag. WPA2-Enterprise networks also carry an EAP method, an identity, an anonymous identity, and a phase-2 method.

Is it safe to scan a Wi-Fi QR at a café or hotel?

Usually, but verify two things: (1) the network name (SSID) matches what the venue advertises, and (2) the security type is WPA2 or WPA3, not WEP (broken) or 'nopass' (open). A fake QR can advertise a network name like 'Starbucks-WiFi-Free' that looks plausible but routes you to an attacker's hotspot.

What's the 'evil twin' attack?

An attacker sets up a Wi-Fi hotspot with a name that matches or closely mimics the legitimate venue's network. They print or sticker a QR code containing that SSID. Customers scan, connect, and route their traffic through the attacker. Common in airports, hotels, and conference centres. Our scanner flags lookalike SSIDs against a list of known high-value targets (Starbucks, McDonald's, airport-free-wifi patterns, hotel chain names).

Are open Wi-Fi QRs (no password) dangerous?

Open networks aren't dangerous to join, your phone uses HTTPS to encrypt traffic anyway, but they ARE highly impersonable. Anyone with a Wi-Fi router and 10 minutes can stand up a fake 'Coffee Shop Free WiFi' next to a real coffee shop. If you must use open Wi-Fi, double-check that the SSID matches what the venue posts, and consider a VPN. Or just use your mobile data, modern plans usually have it.

Standardy · Kod QR z danymi Wi-Fi

Czy ten kod QR Wi-Fi jest bezpieczny do zeskanowania?

Kod QR Wi-Fi łączy Twój telefon z siecią o nazwie podanej w kodzie — i koniec. Niebezpieczeństwo nie leży w samym formacie QR (jest znormalizowany i sam w sobie nieszkodliwy) — leży w SSID. Kod QR z nazwą „Starbucks-WiFi-Free” może w wiarygodny sposób przekierować Cię do fałszywego hotspota na parkingu. Obroną jest przeczytanie nazwy sieci PRZED kliknięciem Połącz.

Sprawdź kod QR Wi-Fi → Wszystkie standardy →

Jaki jest format

Standardem jest schemat URI WIFI:, pierwotnie wprowadzony przez projekt ZXing i przyjęty przez Wi-Fi Alliance. Kompletny zapis wygląda tak:

WIFI:T:WPA2;S:CafeWiFi;P:hunter2;H:false;;

Pola są parami klucz–wartość rozdzielonymi średnik ami. Każdy nowoczesny aparat w smartfonie rozpoznaje ten format i wyświetla monit o dołączenie do sieci.

Dla WPA2-Enterprise (firmowe lub kampusowe Wi-Fi) format rozszerza się o trzy dodatkowe pola: metodę EAP (PEAP / TLS / TTLS), tożsamość (nazwa użytkownika), tożsamość anonimową (zewnętrzna tożsamość EAP) i metodę uwierzytelniania fazy 2.

Pole po polu

T, typ zabezpieczeń

WPA, WPA2, WPA3, WEP lub nopass (otwarta). WEP jest przestarzały, nowoczesne telefony mogą odmówić połączenia. nopass oznacza sieć otwartą bez szyfrowania na warstwie łącza.

S, SSID (nazwa sieci)

Nazwa sieci wyświetlana przez telefon po połączeniu. Najważniejsze pole do weryfikacji. Porównaj z tym, co lokal podaje w materiałach drukowanych lub na szyldach.

P, hasło

Klucz wstępny dla sieci klasy WPA. Nieobecne przy nopass.

H, ukryta sieć

true, jeśli sieć nie rozgłasza swojego SSID. Ukryte sieci wymagają aktywnego wyszukiwania; nie są z natury bezpieczniejsze, często wręcz mniej.

E, metoda EAP (Enterprise)

Dla sieci WPA2/3-Enterprise: PEAP, TLS, TTLS, PWD. Określa, jak telefon uwierzytelnia się na serwerze auth sieci.

I, tożsamość (Enterprise)

Twoja nazwa użytkownika w sieci Enterprise. Niektóre lokale wpisują tu tożsamość gościa; sieci firmowe wymagają prawdziwej nazwy użytkownika.

A, tożsamość anonimowa (Enterprise)

Zewnętrzna tożsamość widoczna podczas uzgadniania EAP. Stosowana dla prywatności — prawdziwa tożsamość jest zaszyfrowana wewnątrz tunelu.

PH2, metoda fazy 2 (Enterprise)

Dla TTLS / PEAP: metoda uwierzytelniania wewnętrznego tunelu, zazwyczaj MSCHAPV2.

Atak evil-twin

Przepis:

Atakujący ustawia router Wi-Fi (lub telefon w trybie hotspota) w pobliżu docelowego miejsca: kawiarni, bramki na lotnisku, lobby hotelowego, centrum konferencyjnego.
Konfiguruje SSID tak, by pasował lub był podobny do sieci lokalu: Starbucks_WiFi_2, FREE_AIRPORT_WIFI, HotelGuests_5G.
Drukuje kod QR dla tej fałszywej sieci i przykleja go w wiarygodnym miejscu — pod krawędzią stołu, obok gniazda elektrycznego, na oknie.
Skanujesz kod, Twój telefon łączy się z jego hotspotem. Atakujący przekierowuje Twój ruch do prawdziwego internetu, więc nic nie sprawia wrażenia usterki — ale widzi SNI każdego połączenia HTTPS (które strony odwiedzasz), każde zapytanie DNS i cały niezaszyfrowany ruch.

Nowoczesne aplikacje używają HTTPS, więc dane logowania i treści są szyfrowane. Ale:

SNI ujawnia, które strony odwiedzasz (w przypadku szyfrowanego ClientHello nie ujawnia, ale niewielu klientów to wymusza).
DNS przez sieć atakującego ujawnia Twoje zapytania, chyba że używasz DoH / DoT.
Aplikacje, które z jakiegoś powodu wracają do HTTP (starsze API, błędy przypinania certyfikatów, sondy captive-portal), powodują wycieki danych.
Atakujący może serwować fałszywe strony captive-portal zachęcające do podania danych, które normalnie wpisujesz gdzie indziej.

Nasz skaner oznacza SSID wyglądające jak cele o wysokim ryzyku pomylenia — znane nazwy marek z dekodowanymi znakami mylącymi — jako podejrzane, abyś sprawdził nazwę sieci przed dołączeniem.

Co pokazuje nasz skaner

Wrłuc kod QR Wi-Fi (obraz, wklej lub kamera) do naszego skanera. Wynik pokazuje:

Sieć (SSID) — przeczytaj uważnie i porównaj z tym, co podaje lokal.
Typ zabezpieczeń — WPA2 / WPA3 / WEP / Otwarta. Sieci otwarte lub WEP otrzymują ostrzeżenie.
Hasło — dotkniąć, aby odsłonić (pole wrażliwe). Przydatne do dodania do menedżera haseł.
Flaga ukrytej sieci — Tak / Nie.
Metoda EAP + tożsamość + faza 2 — dla sieci Enterprise, wyświetlane, abyś mógł potwierdzić, że metoda auth odpowiada temu, czego oczekuje dział IT.
Osadzone adresy URL w SSID lub haśle — niektórzy atakujący umieszczają adresy phishingowe w polu hasła; oznaczamy je.

Skaner działa w Twojej przeglądarce; tylko zdekodowany tekst trafia na nasz serwer do sprawdzenia bezpieczeństwa, nie obraz.

Zanim klikniesz Połącz

Czy SSID dokładnie odpowiada temu, co podaje lokal? Łudząco podobne nazwy (dodatkowe znaki, zamienione litery, „Starbucks_2”) to sygnatura ataku.
Czy zabezpieczenia to WPA2 lub WPA3? Sieci otwarte i WEP nie są z natury niebezpieczne, ale MOŻNA je podrobicć.
Jeśli to sieć Enterprise, czy dział IT poinformował Cię o tej konkretnej metodzie EAP i tożsamości?
Czy korzystasz teraz z transmisji danych komórkowych? Jeśli tak, rozważ po prostu jej użycie. Nowoczesne plany komórkowe zazwyczaj są szybsze i bezpieczniejsze niż Wi-Fi w lokalu.
Czy hasło sieci jest regularnie zmieniane? Wiele kawiarni wypisuje hasło na tablicy; stara naklejka z kodem QR na oknie może zawierać hasło, które od tamtej pory zostało zmienione.

Powiązane

Sprawdź kod QR Wi-Fi

Upusc obraz kodu QR, wklej ciąg WIFI: lub użyj kamery. Wynik pokazuje nazwę sieci, typ zabezpieczeń, zamaskowane hasło i oznacza podróbki o wysokim ryzyku pomylenia z markowymi SSID.

Otwórz skaner →