Веб-ссылки
QR на плакате, парковомере или столике в ресторане. Мы проходим по каждому перенаправлению, называем сокращатели и проверяем репутацию конечного URL через Google Safe Browsing, URLhaus и ChainAbuse.
Покрытие
Любой вид QR-кода — идентифицирован
QR-код может содержать веб-ссылку, пароль Wi-Fi, платёж, контактную карточку, посадочный талон, запись о вакцинации, водительское удостоверение или конфигурацию VPN. Мы декодируем все из них.
В цифрах
Загрузка…
Что мы проверяем
Для каждого вида QR-кода мы говорим, что это такое, что внутри и безопасно ли действовать по нему — не передавая ваши данные рекламным сетям.
Wi-Fi сети
QR, который выдаёт отель или кафе. Мы показываем имя сети, тип защиты и пароль, а также предупреждаем о скрытых сетях, слабой защите (WEP) и SSID, имитирующих известные бренды.
Платежи торговцев
QR для оплаты в ресторанах, на рынках и парковках. Мы показываем название торговца, город, страну и сумму, а также проверяем реквизиты платежа на соответствие стандартам EMV.
Криптоплатежи
Bitcoin, Ethereum, Solana, Lightning Network, Cashu и другие. Мы проверяем адрес, декодируем сумму и параметры запроса, а также предупреждаем о нестандартных полях.
Контактные карточки
QR «сохранить мой контакт» на визитных карточках. Имя, телефон, email, организация, адрес, профили в соцсетях — мы показываем всё и предупреждаем о встроенных URL в полях.
Приглашения в календарь
QR мероприятий с сайтов свадеб, значков конференций, потоков продажи билетов. Название, начало, конец, повторение (еженедельно, ежемесячно), место, организатор — всё декодировано.
Телефон / SMS / Email
QR для звонка, SMS или email по нажатию. Мы отмечаем номера с платным соединением (те, что тарифицируются поминутно), международные номера, выдающие себя за местные, и email с подозрительными заголовками.
Двухфакторные коды (otpauth)
QR-код, который показывает ваш банк, Google или рабочее приложение при настройке аутентификатора. Мы декодируем издателя и аккаунт, чтобы вы могли подтвердить, что именно регистрируете, и громко предупреждаем, когда кто-то пытается поделиться всем пакетом Google Authenticator (один QR-код, содержащий все имеющиеся у него коды 2FA).
Читать: безопасно ли сканировать экспорт Google Authenticator?
Вход с ключом доступа (Passkey)
QR-код, который показывает ноутбук с предложением завершить вход по паролю с помощью телефона. Мы громко предупреждаем, если вы сами не инициировали вход: сканирование чужого QR-кода выполнит вход им в ваш аккаунт. Также обнаруживает аналогичные приёмы в WhatsApp Web, Telegram, Microsoft 365, Google, GitHub, AWS, Steam, Discord, Slack и Apple ID.
Читать: нужно ли сканировать этот QR для входа с ключом доступа?
Цифровые удостоверения / водительские права
Штрихкод на обратной стороне водительских удостоверений США и Канады (тот, который сканируют в барах и клубах), а также мобильные документы, удостоверяющие личность (mDL по ISO/IEC 18013-5). Мы декодируем данные и предупреждаем, если формат не соответствует стандарту AAMVA.
Читать: что содержит штрихкод на обратной стороне водительского удостоверения?
Медицинские записи
SMART Health Cards (записи о вакцинации, рецепты, результаты анализов) и EU Digital COVID Certificates. Мы показываем эмитента и тип записи, не раскрывая медицинские данные.
Посадочные талоны
QR на посадочных талонах авиакомпаний. Номер рейса, маршрут, дата, место, очерёдность — всё расшифровывается, чтобы вы могли проверить перед предъявлением.
Сопряжение умного дома
QR для сопряжения Matter и Apple HomeKit, которые сканируют для добавления нового устройства умного дома. Мы декодируем производителя, идентификатор продукта и настройки комиссионирования.
Активация eSIM
QR для установки тарифного плана на телефон. Мы показываем адрес сервера оператора, ссылку для активации и предупреждаем о нестандартных конфигурациях.
VPN-профили
QR с конфигурацией WireGuard. Мы показываем адрес сервера, разрешённые IP и DNS, а также отмечаем конфигурации с полным туннелированием (весь трафик) и частичным (только указанные сети).
Коды продуктов / отгрузки
QR GS1 Digital Link на упакованных товарах — формат, который заменит традиционные штрихкоды в повседневной торговле. Мы декодируем GTIN, партию, срок годности и ссылку на цифровой паспорт продукта.
Швейцарские QR-счета
QR на швейцарских счетах. Мы декодируем IBAN, имя и адрес получателя, сумму, валюту и справочный номер — чтобы вы могли проверить платёж перед оплатой.
Опасные форматы
Некоторые форматы QR никогда не должны запускаться при сканировании: javascript:, URI исполняемых файлов и Java-архивов. Мы блокируем их полностью и объясняем причину.
Предъявительские токены (Cashu, LNURL)
Ecash-токены Cashu и есть деньги — любой, кто сфотографирует QR, сможет их потратить. Мы обнаруживаем их и предупреждаем, прежде чем вы случайно поделитесь ими.
Простой текст
Когда QR содержит только обычный текст, мы всё равно проверяем его на встроенные URL, утечки секретов (ключи API, JWT, мнемоники кошельков) и паттерны фишинга.
Другие сканеры проверяют ссылку. Мы проверяем QR.
Что говорит обычный сканер URL
«qr.abundera.ai/r/abc → walmart.com, чисто ✓»
Верно в данный момент. Но QR-наклейка на парковомере ведёт через сокращатель. Владелец аккаунта может изменить пункт назначения после печати — без замены наклейки.
Что говорим мы
«Ведёт через сокращатель. Владелец аккаунта может изменить пункт назначения после печати. Сегодня ведёт на walmart.com (чисто). Изменяемость: высокая.»
Два ответа в одном вердикте. Сейчас: безопасно ли сегодня? Потом: кто сможет изменить это завтра?
Что мы никогда не видим
Для учётных данных и документов, удостоверяющих личность, мы определяем тип отсканированного QR, но намеренно не декодируем персональные данные на сервере.
Ваши секреты двухфакторной аутентификации
Когда вы сканируете экспорт приложения-аутентификатора или код настройки, мы идентифицируем его и предупреждаем о сканировании в неподходящем месте.
Медицинские записи
Медицинские справки и сертификаты здоровья: мы показываем эмитента (государство / орган здравоохранения) и тип записи, но не декодируем персональные данные.
Данные посадочного талона
Мы показываем информацию о рейсе для проверки талона, но скрываем номер бронирования за нажатием — чтобы скриншот не раскрывал его.
Приватные ключи VPN / SSH
Закрытые ключи WireGuard и SSH в форме QR отображаются как скрытые поля, которые можно раскрыть нажатием на вашем устройстве. Они никогда не попадают в наши журналы.
Что будет дальше
Несколько новых форматов QR, за которыми мы следим. Будем добавлять каждый по мере стабилизации стандарта.
Цифровой кошелёк ЕС
Общеевропейский кошелёк цифровой идентичности (eIDAS 2.0) внедряется в 2024–2026 годах. Мы уже декодируем близкородственный mDL и готовы к этому формату.
Цифровой паспорт продукта
Регламент ЕС обязывает каждый потребительский продукт иметь цифровой паспорт (устойчивость, происхождение, информация о ремонте) к 2027 году.
Сопряжение Bluetooth mesh
Bluetooth SIG стандартизирует формат QR для ввода в эксплуатацию mesh-устройств (сегодняшние QR для сопряжения зависят от производителя).
16 символик декодируются с камеры
QR Code, Aztec (посадочные талоны авиакомпаний), PDF417 (водительские права США), Data Matrix (фарма + розница), Code 128/39/93, Codabar — всё декодируется с вашей камеры.
Форматы, которые мы знаем, но пока не декодируем
Мы отслеживаем все форматы штрихкодов, с которыми могут столкнуться пользователи. Эти есть у нас на радаре, но недостижимы в браузерном JavaScript сегодня.
Han Xin Code
Китайская национальная двумерная символика (GB/T 21049-2007). Используется в промышленной логистике и государственных документах. Готового JavaScript-декодера для производственной среды пока нет; экспериментальная поддержка существует в zxing-cpp и появится, когда мы добавим нативное приложение Abundera QR Check (в планах).
JAB Code
Цветной двумерный штрихкод, стандартизированный немецким BSI для защиты от подделок. Референсная реализация находится в стадии исследования.
DotCode
Формат высокоскоростной промышленной печати, используемый в табачной и фармацевтической отраслях. Ни один JavaScript-декодер не читает его надёжно.
Почтовые коды
PostNet, PLANET, Intelligent Mail (USPS), RM4SCC (Royal Mail), KIX (нидерландский), Australia Post 4-State. Достаточно редки, чтобы не инвестировать в поддержку без явного запроса.
Microsoft Tag / HCCB
Microsoft прекратил поддержку этого цветного штрихкода в 2015 году вместе с SDK сканера. Не поддерживается; включён здесь для полноты картины.
Snowflake / Ultracode / NextCode
Промышленные нишевые двумерные форматы. Нет производственных JavaScript-декодеров. Каждый достаточно редок, чтобы вкладываться только при явном пользовательском спросе.