Um código QR pode conter um link web, sua senha de Wi-Fi, um pagamento, um cartão de contato, um cartão de embarque, um registro de vacina, uma carteira de motorista, um código de emparelhamento de casa inteligente e dezenas de outras coisas. A maioria dos scanners de segurança verifica apenas links web. Nós identificamos e verificamos todos eles, em linguagem simples.
Carregando…
Para cada tipo de código QR, informamos o que é, o que contém e se é seguro agir sobre ele — sem vazar suas informações pessoais no processo.
O QR em um cartaz, parquímetro ou mesa de restaurante. Seguimos cada redirecionamento, identificamos o dono do encurtador (Bitly, Linktree, TinyURL, marca própria) e sinalizamos domínios parecidos e sites de phishing conhecidos. Se o link puder mudar após a impressão do QR, avisamos — é assim que funcionam os golpes de troca de adesivo.
O QR que seu hotel ou café oferece. Mostramos o nome da rede, o tipo de segurança e a senha, e sinalizamos falsos lookalikes de "Starbucks WiFi" / "Airport Free WiFi" que tentam enganá-lo para se conectar.
QRs de checkout em restaurantes, bancas de mercado, parquímetros. Mostramos o nome do comerciante, cidade, país, valor e moeda antes de você pagar, para que você confirme que está pagando quem pensa estar pagando. Abrange 54 países: PIX (Brasil), UPI (Índia), PromptPay (Tailândia), PayNow (Cingapura), Bizum (Espanha), Swish (Suécia) e muito mais.
Leia: este QR de pagamento a comerciante é seguro para pagar?
Bitcoin, Ethereum, Solana, Lightning Network, Cashu e outros. Validamos o endereço, decodificamos o valor e avisamos com destaque quando um QR pede que sua carteira chame uma função de contrato inteligente (geralmente o início de um golpe de drenagem) em vez de um simples envio.
O QR de "salve meu contato" em um cartão de visita. Nome, telefone, e-mail, organização, endereço, perfis sociais, aniversário, notas — exibidos como um cartão estruturado que você pode adicionar ao celular com um toque. Nomes parecidos com marcas conhecidas são sinalizados.
QRs de eventos de sites de casamento, crachás de conferência, fluxos de emissão de ingressos. Título, início, fim, recorrência (semanal, mensal), local, organizador, participantes — tudo decodificado para que você veja exatamente o que está sendo adicionado ao seu calendário antes de tocar em Aceitar.
QRs de toque para ligar, toque para enviar SMS, toque para enviar e-mail. Sinalizamos números de telefone com tarifa premium (do tipo que cobra por minuto), códigos curtos internacionais usados para fraude e assuntos de e-mail preenchidos que tentam fazer você enviar informações confidenciais.
O QR que seu banco, Google ou aplicativo de trabalho exibe ao configurar um autenticador. Decodificamos o emissor e a conta para que você confirme o que está registrando, e avisamos com destaque quando alguém tenta compartilhar seu pacote inteiro do Google Authenticator (um QR com todos os códigos 2FA que possui).
Leia: é seguro escanear a exportação do Google Authenticator?
O QR que seu notebook exibe pedindo que seu celular conclua um login com passkey. Avisamos com destaque se você não foi quem iniciou o login — escanear o QR de outra pessoa faz o login dela na sua conta. Também detecta o mesmo truque no WhatsApp Web, Telegram, Microsoft 365, Google, GitHub, AWS, Steam, Discord, Slack e Apple ID.
O código de barras na parte traseira das carteiras de motorista dos EUA e do Canadá (o que bares e clubes escaneiam), além de carteiras de motorista digitais de DMVs estaduais e da Carteira de Identidade Digital da UE. Exibimos o emissor, o tipo de credencial e quais atributos ela contém, e nunca revelamos o nome, endereço ou data de nascimento do portador.
Leia: o que diz o código de barras na parte traseira de uma carteira de motorista?
Cartões de Saúde Inteligentes (registros de vacinas, receitas, resultados de exames) e Certificados Digitais COVID da UE. Identificamos o que é a credencial e quem a emitiu, mas deliberadamente não decodificamos o nome do paciente, data de nascimento ou qualquer detalhe médico. Seu aplicativo de carteira é o lugar certo para visualizar isso, não uma página de scanner pública.
O QR no seu cartão de embarque aéreo. Número do voo, rota, data, assento, sequência — tudo decodificado para que você verifique o passe. Mascaramos a referência de reserva (PNR) por padrão, porque qualquer pessoa com seu nome e PNR pode acessar sua reserva. Não publique fotos de cartões de embarque.
Leia: o que está codificado no código de barras de um cartão de embarque?
QRs de emparelhamento do Matter e do Apple HomeKit que você escaneia para adicionar um novo dispositivo à sua casa. Decodificamos fabricante, produto, código de configuração e os tipos de rede que ele tentará entrar, para que um adesivo trocado não possa discretamente registrar um dispositivo em uma rede que você não controla.
O QR que você escaneia para instalar um plano de celular. Exibimos o servidor da operadora com que ele se comunicará, o código de ativação e se um código de confirmação é necessário. Aviso em destaque de que um eSIM instalado pode interceptar SMS, incluindo quaisquer códigos 2FA recebidos por mensagem.
QRs de configuração do WireGuard. Mostramos o endereço do servidor, IPs permitidos e DNS, e sinalizamos configurações de túnel completo que roteiam todos os bytes do seu tráfego pelo servidor de outra pessoa. A chave privada no QR é mascarada por padrão.
QRs GS1 Digital Link em produtos embalados, o formato que substituirá os códigos de barras tradicionais para produtos cotidianos até 2027. Decodificamos o código do produto (GTIN), número de lote, data de validade e série, para que você verifique a autenticidade de um produto de relance.
O QR em faturas suíças. Decodificamos IBAN, nome e endereço do credor, valor, moeda e referência, para que você possa abri-lo no seu aplicativo bancário com total visibilidade sobre quem está sendo pago.
Alguns formatos de QR nunca devem ser executados a partir de um escaneamento: javascript:, URIs de arquivo executável e blobs de dados codificados em JavaScript. Bloqueamos esses formatos e explicamos o motivo. O botão de ação é desabilitado por design.
Tokens de ecash Cashu são literalmente o dinheiro — qualquer pessoa que fotografar o QR pode gastá-lo. Sinalizamos isso com destaque. Endpoints LNURL (login, saque, pagamento via Lightning) são decodificados para que você veja onde sua carteira se conectará antes de tocar.
Quando o QR é apenas texto simples, ainda verificamos URLs incorporadas, segredos expostos (chaves de API, JWTs, chaves SSH), padrões de injeção de prompt de IA direcionados a assistentes downstream e caracteres unicode semelhantes que disfarçam links perigosos.
"qr.abundera.ai/r/abc → walmart.com, limpo ✓"
Verdadeiro neste exato momento. Mas o adesivo QR em um parquímetro passa por um encurtador primeiro. O titular da conta pode mudar o destino a qualquer momento. Imprima um QR limpo hoje, troque o alvo para uma página de phishing amanhã — cada escaneamento subsequente do mesmo adesivo físico cairá no phishing. O scanner de URL nunca disse que isso era possível.
"Passa por um encurtador. O dono da conta pode mudar o destino após a impressão. Hoje leva para walmart.com (limpo)."
Duas respostas em um veredicto. Agora: isso é seguro hoje? Depois: quem pode mudar isso amanhã? Ambas importam para um QR em uma superfície impressa que não pode ser desimpresso.
Para credenciais e documentos de identidade, identificamos o tipo de QR escaneado, mas deliberadamente não decodificamos as informações pessoais contidas nele.
Quando você escaneia uma exportação de aplicativo autenticador ou código de configuração, identificamos e avisamos sobre escanear no lugar errado, mas as seeds secretas reais nunca são decodificadas pelo nosso servidor. Elas vão para o seu aplicativo autenticador, não para nós.
Registros de vacinas e certificados de saúde: exibimos o emissor (qual governo / autoridade de saúde) e que tipo de registro é. Seu nome, data de nascimento e histórico médico permanecem dentro da credencial, nunca retransmitidos pelo nosso scanner.
Mostramos as informações de voo para que você possa verificar o passe, mas mascaramos a referência de reserva com um toque para revelar, para que uma captura de tela do nosso veredicto não seja em si uma forma de acessar sua reserva.
Chaves privadas WireGuard e SSH em forma de QR são exibidas como campos mascarados que você pode tocar para revelar no seu dispositivo. Elas não são enviadas a terceiros.
Alguns formatos QR emergentes que estamos acompanhando. Incluiremos cada um quando o padrão se estabilizar.
A carteira de identidade digital transfronteiriça da UE (eIDAS 2.0) está sendo implantada entre 2024 e 2026. Já decodificamos o formato de carteira de motorista digital estreitamente relacionado; a variante da carteira da UE chega quando as implementações dos estados-membros se estabilizarem.
O regulamento da UE exige que todo produto de consumo tenha um passaporte digital (sustentabilidade, origem, informações de reparo) até 2027. O formato já é uma URL GS1 Digital Link, que decodificamos hoje; a superfície completa do passaporte fica mais rica à medida que os fabricantes publicam seus dados.
O Bluetooth SIG está padronizando um formato QR para comissionamento de dispositivos em rede mesh (os QRs de emparelhamento atuais são específicos de cada fabricante). Adicionaremos suporte quando a especificação for lançada.
QR Code, Aztec (cartões de embarque móveis), PDF417 (carteiras de motorista dos EUA), Data Matrix (farmácia + varejo), Code 128/39/93, Codabar, EAN-13/8 (supermercados), UPC-A/E (varejo dos EUA), ITF (caixas), MaxiCode (etiquetas de envio UPS), GS1 DataBar + DataBar Expanded (hortifrúti, cupons). Aponte a câmera para qualquer um desses e decodificamos e classificamos o payload da mesma forma que para QR.
Acompanhamos todos os formatos de código de barras que os usuários podem encontrar. Estes estão em nosso radar, mas inacessíveis em JavaScript no navegador hoje — seja porque não existe decodificador de produção, o padrão é apenas para pesquisa ou o formato foi descontinuado. Adicionaremos suporte assim que um caminho viável se abrir (biblioteca para navegador, aplicativo nativo ou decodificação no servidor).
Simbologia 2D nacional chinesa (GB/T 21049-2007). Usada para logística industrial e documentos governamentais. Nenhum decodificador JavaScript de produção existe hoje; suporte experimental existe no zxing-cpp, que será incluído quando adicionarmos o aplicativo nativo Abundera QR Check (planejado).
Código de barras 2D colorido padronizado pelo BSI alemão para embalagens anti-falsificação. A implementação de referência é código C apenas para pesquisa; não existe porta JavaScript. Aguardando uma porta mantida.
Formato de impressão industrial de alta velocidade usado pelos setores de tabaco e farmacêutico. Nenhum decodificador JavaScript lê de forma confiável hoje, mesmo com fixtures de qualidade. No radar para a pilha de aplicativos nativos.
PostNet, PLANET, Intelligent Mail (USPS), RM4SCC (Royal Mail), KIX (holandês), Australia Post 4-State. Nicho o suficiente para que não existam bibliotecas JavaScript mantidas. Se surgir um caso de uso de cliente, avaliaremos um decodificador nativo ou no lado do servidor.
A Microsoft aposentou este formato de código de barras colorido em 2015 junto com seu SDK de scanner. Não é suportável; incluído aqui para completar, para que qualquer pessoa com material de marketing antigo saiba que não vai escanear.
Formatos 2D de nicho industrial. Nenhum decodificador JavaScript de produção. Cada um é raro o suficiente para que só investíssemos se um cliente verificado solicitasse.