Каждый QR-стандарт, который мы распознаём, с объяснением
QR-код — это контейнер. Внутри может быть платёж, запись о вакцинации, водительское удостоверение, eSIM, вход через passkey или подключение умного дома — каждый регулируется собственным международным стандартом с собственной моделью угроз. Это авторитетный справочник по каждому стандарту, который распознаёт наш сканер: что реально находится внутри при сканировании и что мы показываем, а что намеренно скрываем.
Каждый QR, который вы сканировали для оплаты торговцу последние пять лет, работает на основе TLV-структуры EMVCo, но содержимое зависит от страны. Мы определяем конкретную схему, декодируем поля торговца, необходимые для проверки перед оплатой, и валидируем контрольную сумму CRC, которую злоумышленники не могут подделать.
EMVCo MPM / CPM 💳
Базовый стандарт для всех предъявляемых торговцем QR-платежей в мире. Структура TLV с именем торговца, городом, страной, валютой, суммой, реквизитами счёта получателя и контрольной суммой CRC-16/CCITT-FALSE.
Мы показываем: имя торговца, город, страна, валюта ISO 4217 (полная таблица, 169 кодов), категория MCC, сумма, динамический или статический, индикатор чаевых, дополнительные поля (референс, номер счёта, метка клиента, метка терминала, назначение).
Оценка угрозы: неверный CRC → подозрительно (QR был изменён или повреждён — наиболее надёжный сигнал замены наклейки).
Схема мгновенных платежей Центрального банка Бразилии. Мировой лидер по объёму транзакций. Два варианта: статический (многоразовый QR) и динамический (одноразовый QR с встроенным ID транзакции).
Мы показываем: ключ Pix получателя (CPF / CNPJ / email / телефон / EVP UUID), описание платежа, URL динамического QR при наличии.
Унифицированный платёжный интерфейс Индии, крупнейший по числу пользователей. Виртуальный платёжный адрес UPI (VPA) маршрутизирует платежи между банками в режиме реального времени.
Мы показываем: VPA получателя, имя получателя, сумма, валюта, референс транзакции, MCC, примечание к транзакции.
ISO 20022 SPC v2.2, не EMVCo. Заменяет оранжево-красный швейцарский платёжный бланк. 33 поля с разделителями: кредитор, конечный кредитор, конечный должник, тип референса (QRR / SCOR / NON), платёжная информация и альтернативные процедуры.
Мы показываем: IBAN кредитора, полный адрес кредитора, конечный должник, сумма, валюта, тип референса в читаемом виде, структурированный референс, неструктурированное сообщение, URL alt-процедуры eBill.
Криптографически подписанные счета-фактуры, обязательные для каждой коммерческой операции в Королевстве. TLV-кодирование с пятью обязательными тегами (продавец, номер НДС, временная метка, итого, сумма НДС) плюс подпись ECDSA.
Мы показываем: название продавца, регистрационный номер НДС, временная метка ISO 8601, общая сумма счёта, сумма НДС.
И многое другое: мы идентифицируем национальные платёжные схемы 54 стран: PromptPay (Таиланд), PayNow (Сингапур), DuitNow (Малайзия), QRIS (Индонезия), Bizum (Испания), Swish (Швеция), MB WAY (Португалия), BLIK (Польша), Wero (ЕС) и десятки других, описанных в каталоге анализаторов.
Медицинские документы
Записи о прививках, рецепты, результаты анализов и дорожные сертификаты. Криптографически подписаны национальными органами здравоохранения. Мы идентифицируем документ и показываем эмитента и тип, но намеренно никогда не декодируем имя пациента, дату рождения или историю болезни. Для просмотра этих данных используйте приложение-кошелёк.
SMART Health Cards 🩺
JWS в числовом кодировании, оборачивающий DEFLATE-сжатые ресурсы FHIR в формате JSON. Используется Apple Wallet, Common Trust Network, штатами США, провинциями Канады и рядом аптечных сетей для записей о вакцинации и анализах.
Мы показываем: URL эмитента, временная метка ISO выдачи, тип документа (covid19 / immunization / lab и т.д.), версия FHIR, количество и типы ресурсов.
Мы никогда не декодируем: имя пациента, дату рождения, даты вакцинации/тестов, тела отдельных ресурсов FHIR. Защищено тестами в наборе анализатора.
EU Digital COVID Certificate (HC1) 🇪🇺
Префикс HC1: оборачивает цепочку base45 → DEFLATE → COSE_Sign1 → CBOR → CWT, заканчивающуюся утверждением HCERT, определённым ЕС. Всё ещё используется в некоторых государствах-членах для дорожных документов, не связанных с COVID.
Мы показываем: страна-эмитент (ISO 3166-1), временная метка выдачи (not-before), срок действия, версия схемы, тип документа (вакцинация / тест / выздоровление), целевая болезнь (SNOMED-CT, отображается «COVID-19», а не код 840539006), страна вакцинации/теста, организация-эмитент, номер дозы / общее количество, тип теста, результат теста.
Мы никогда не декодируем: имя пациента, дата рождения, даты доз, уникальный ID сертификата (UVCI). Защищено тестами.
Удостоверения личности
Водительские удостоверения, мобильные удостоверения личности и цифровые кошельки. Штрихкод на обороте водительского удостоверения США содержит все поля с лицевой стороны. QR мобильного водительского удостоверения передаёт рукопожатие соединения для верификатора через NFC / BLE.
AAMVA driver license 🪪
Штрихкод PDF417 на обороте каждого водительского удостоверения США и Канады. Формат субфайлов-элементов в соответствии с приложением D.12.5 стандарта AAMVA Card Design Standard.
Мы показываем (~17 полей): имя, отчество, фамилия, дата рождения в формате ISO, пол, рост, цвет глаз, номер удостоверения (скрытый), категория, ограничения, разрешения, срок действия, дата выдачи, полный адрес, страна, флаг донора органов, флаг ветерана, порог совершеннолетия.
По умолчанию — конфиденциально: номер удостоверения и дата рождения отображаются как скрытые поля с раскрытием по нажатию, чтобы скриншот результата не создавал утечку персональных данных. Предупреждение о конфиденциальности указывает, что бары и клубы, сканирующие удостоверения, получают ВСЕ эти данные, а не только возраст владельца.
QR mdoc: который ваша мобильная лицензия iOS / Android показывает при предъявлении верификатору. CBOR DeviceEngagement с селектором набора шифров, эфемерным публичным ключом владельца и списком методов передачи, доступных верификатору.
Мы показываем: версия протокола, набор шифров (P-256 ECDH-ES + A256KW — обязательный на сегодня), поддерживаемые методы передачи (NFC / BLE / Wi-Fi Aware), хост серверного получения (при наличии).
Мы никогда не декодируем: байты эфемерного публичного ключа владельца (показывается только длина). Реальные атрибуты mDL передаются по согласованному каналу после подключения верификатора, а не через этот сканер.
Схемы OpenID4VP и eudi-openid4vp для трансграничного предъявления идентификаторов. Внедрение в государствах-членах активно идёт в 2024–2026 годах.
Мы показываем: семейство протоколов (openid4vp / eudi-openid4vp / mdoc-openid4vp / siopv2), client_id, хост response_uri, хост request_uri для потоков с подписанными запросами, response_mode.
DID URIs 🔑
Децентрализованные идентификаторы: did:web, did:key, did:ion, did:ebsi и другие методы.
Мы показываем: метод DID, идентификатор метода, параметр сервиса, относительная ссылка, фрагмент верификации.
Аутентификация и passkey
QR-потоки входа, которые защищают (или компрометируют) каждую вашу учётную запись. Мы определяем каждый вид и предупреждаем, когда QR предлагает вам завершить чужой вход вместо вашего.
FIDO CTAP 2.2 hybrid 🗝️
Межустройственный QR passkey, который ваш ноутбук показывает при входе с passkey через телефон. CBOR-карта в кодировке Base10 с публичным ключом узла, QR-секретом, подсказкой операции, доменом туннельного сервера, временной меткой и флагом state-assistance.
Мы показываем: операция (make-credential / get-assertion / discoverable), домен туннельного сервера (например, cable.ua5v.com), временная метка ISO, поддержка state-assisted, длина публичного ключа узла, длина QR-секрета.
Жёсткое предупреждение: сканирование этого QR завершает вход, НАЧАТЫЙ КЕМ-ТО ДРУГИМ НА ДРУГОМ УСТРОЙСТВЕ. Если вы сами не инициировали вход с passkey, откажитесь — иначе вы авторизуете в своём аккаунте того, кто создал этот QR.
QR для настройки одноразовых паролей RFC 4226 / RFC 6238. URI otpauth://, который показывает ваш банк или рабочее приложение при подключении аутентификатора.
Мы показываем: эмитент, аккаунт, алгоритм (SHA1 / SHA256 / SHA512), количество цифр (6 / 8), период (TOTP) или счётчик (HOTP), URL иконки эмитента.
По умолчанию — конфиденциально: секрет Base32 отображается как скрытое поле. Мы также валидируем Base32-секрет и предупреждаем, если он некорректен — приложения-аутентификаторы принимают неправильные секреты молча, а затем генерируют коды, которые никогда не проходят проверку.
QR массового экспорта Google Authenticator. Содержит все 2FA-секреты из приложения одновременно — protobuf-пакет с N записями OtpParameters.
Мы показываем (на запись): эмитент, аккаунт, тип (HOTP / TOTP), алгоритм, количество цифр, счётчик, а также метаданные версии и пакета. В раскрытии перечислены «Записи в этом пакете: ACME / alice@acme; GitHub / bob@github; …» — чтобы пользователь, действительно переносящий данные, мог проверить их перед импортом.
Мы никогда не декодируем: реальные байты секретного ключа. Проверено тестами с маркерными строками, которые никогда не должны появляться в результатах.
Жёсткое предупреждение: класс угрозы likely_dangerous, если только пользователь БУКВАЛЬНО прямо сейчас не переносит данные между своими устройствами.
Текстовое сообщение для входа, которое подписывает ваш кошелёк, доказывая контроль над адресом кошелька сайту.
Мы показываем: домен сайта, адрес кошелька, ID сети, nonce, срок действия.
Предупреждение: внимательно читайте домен и текст — злоумышленный сайт может использовать подписанное сообщение SIWE для подмены вашей личности на этом домене.
Путешествия и билеты
IATA boarding pass (Resolution 792) ✈️
QR / Aztec / PDF417 на авиационном посадочном талоне. Заголовок фиксированной ширины (60 символов) плюс 37 обязательных символов данных на сегмент.
Мы показываем (на сегмент): код перевозчика + номер рейса (без ведущих нулей), маршрут (ОТ → ДО), дата (юлианский день → ISO с умным переносом года), место, класс, порядковый номер, статус (посадка / доступ в зал ожидания / упрощённый досмотр и т.д.). Многосегментные талоны получают построчные префиксы сегментов.
По умолчанию — конфиденциально: PNR / номер бронирования отображается как скрытое поле — имя плюс PNR достаточно для доступа к бронированию на большинстве сайтов авиакомпаний. Не публикуйте фотографии посадочных талонов.
The QR you scan to install a phone plan. Format: LPA:1$<SM-DP+>$<AC-Token>[$<SM-DP+ OID>][$<CC required>].
Мы показываем: SM-DP+ FQDN (сервер оператора, который будет работать с телефоном), код активации, флаг требования кода подтверждения.
Предупреждение: установленный профиль eSIM может перехватывать SMS, включая коды 2FA. Проверьте SM-DP+ по списку разрешённых адресов вашего реального оператора (Airalo, Saily, Truphone, Google Fi и др.) перед установкой.
Код с префиксом MT: в формате base38 packed-binary от Connectivity Standards Alliance. Подключение умного дома между разными производителями; работает с Apple Home, Google Home, Amazon Alexa, Samsung SmartThings.
Мы показываем: Vendor ID, Product ID, дискриминатор, 8-значный пароль сопряжения (скрытый), поток ввода в эксплуатацию, флаги возможностей обнаружения (Soft-AP / BLE / существующая IP-сеть), версия спецификации.
URI настройки аксессуаров Apple HAP. Предшествует Matter; всё ещё применяется во многих аксессуарах, которые ещё не поддерживают Matter.
Wi-Fi Easy Connect (DPP) 📡
Wi-Fi Alliance Device Provisioning Protocol — современная замена WPS. Используется в роутерах 2025 года для подключения устройств через QR.
Bluetooth Auracast (BAU v1.0) 🎧
QR-схема Bluetooth SIG для LE Audio трансляций. UUID сервиса 184F идентифицирует Auracast; мы показываем название трансляции (декодированное из base64) и статус шифрования.
Крипто и Lightning
Bitcoin (BIP-21) ₿
Стандартный URI платежа Bitcoin. Мы показываем адрес, сумму (в BTC/сат), метку, сообщение, PayJoin endpoint (pj=), URL платёжного запроса BIP-72 (r=), обязательные параметры (req-*), запасной вариант Lightning.
Ethereum (EIP-681) ⟠
URI платёжного запроса Ethereum с выбором сети. Мы декодируем получателя или контракт, ID сети с читаемым названием (Ethereum mainnet, Optimism, Polygon, Base, Arbitrum, BNB Chain, Gnosis, Avalanche, Sepolia), значение (wei → ETH/Gwei), имя вызова функции, аргументы ERC-20 transfer.
Предупреждение: вызов контракта — не то же самое, что простой перевод; дрейнеры кошельков рассчитывают на то, что пользователи не замечают разницу.
WalletConnect (ERC-1328) 🔗
URI сопряжения dApp↔кошелёк. Мы показываем версию (v2 — актуальная; v1 устарела и менее защищена), тему, протокол ретрансляции, сессионный симметричный ключ (скрытый).
Solana Pay ◎
URI запроса перевода от Solana Foundation. Мы показываем получателя, сумму, mint SPL-токена, метку, референс, сообщение, memo.
Lightning Network (BOLT-12, LNURL) ⚡
Оферы BOLT-12 (lno1…) — многоразовые платёжные запросы Lightning. LNURL (lnurl1…) кодирует в bech32 HTTPS-endpoint, который кошелёк вызывает для получения инвойса, вывода, открытия канала или аутентификации.
Cashu ecash 🪙
Bearer ecash токен. В отличие от всех других крипто-форматов: QR буквально и есть деньги — тот, кто его сфотографирует, может их потратить.
По умолчанию — конфиденциально: строка токена скрыта; вердикт предупреждает, что QR содержит непотраченную ценность.
Nostr (NIP-19) ⚡
Идентификаторы Nostr в кодировке bech32. Мы распознаём npub (публичный ключ), nsec (приватный ключ, строгое предупреждение), note, nevent, nprofile, naddr, nrelay.
nsec — конфиденциально: приватный ключ Nostr в QR означает утечку идентификатора владельца. Мы отмечаем это как утечку учётных данных.
Промышленность и регуляторные стандарты
GS1 Digital Link 📦
Стандарт, который заменит 1D-штрихкоды на потребительских товарах. Идентификаторы приложений в пути URL кодируют GTIN, серию/партию, дату производства/истечения срока, серийный номер и другие данные.
Мы показываем: GTIN (01), серия/партия (10), дата производства (11), срок годности (15), дата истечения (17), серийный номер (21) и дополнительные AI как именованные поля.
Регламент ЕС с 2027 года обязывает каждый потребительский товар иметь цифровой паспорт (устойчивость, происхождение, информация о ремонте) на основе URL GS1 Digital Link, ведущих на паспортные страницы товара.
Сам QR сегодня декодируется через наш анализатор GS1 Digital Link; содержимое паспорта за пределами URL публикует каждый производитель самостоятельно.
Конфигурация VPN WireGuard в формате INI. Мы показываем адрес интерфейса, DNS, порт прослушивания, endpoint узла, разрешённые IP, persistent keepalive, количество дополнительных узлов.
По умолчанию — конфиденциально: приватный ключ интерфейса и предварительный общий ключ отображаются как скрытые поля. Предупреждение, если allowed-IPs равен 0.0.0.0/0 (полный туннель — весь трафик через чужой сервер).
SSH public key 🔑
Формат authorized_keys OpenSSH (ssh-ed25519 / ssh-rsa / ssh-ecdsa). Мы показываем алгоритм, комментарий и длину ключа.
X.509 certificate / JWT 📜
Сертификаты X.509 в PEM-обёртке и необработанные JWT в компактном представлении. Мы разбираем DER-структуру сертификата для извлечения Subject CN/O, Issuer CN, NotBefore/NotAfter и длины публичного ключа в битах. Истёкшие сертификаты помечаются.
Конфиденциальность JWT: мы показываем alg + typ из заголовка, но НИКОГДА не декодируем утверждения полезной нагрузки JWT — они могут содержать ID аккаунтов, области действия или другие секреты, которым не место в результатах сканирования.
PGP key block 🔑
Блок OpenPGP PUBLIC / PRIVATE KEY. Мы показываем только формат; ключевой материал скрыт. Блоки PRIVATE KEY сопровождаются жёстким предупреждением «не делитесь этим QR».
Символологии, которые мы декодируем (сам визуальный код)
Символология — это *контейнер*, форма точек и квадратов. Стандарты выше — это *полезная нагрузка*, то, что внутри. Наш сканер читает все символологии с открытым стандартом и передаёт декодированный текст соответствующему анализатору.
QR Code (ISO/IEC 18004) ⬛
Model 1 (оригинал 1994 года), Model 2 (действующий мировой стандарт), Micro QR (малые компоненты) и прямоугольный Micro QR (rMQR, ISO/IEC 23941:2022, узкие этикетки — например, для пробирок).
Aztec Code (ISO/IEC 24778) ▣
Символология с круговым искателем, используемая на Eurostar, SBB и многих европейских транзитных посадочных талонах.
Компактная символология малого формата. Используется в GS1 (ритейл), DSCSA (фарма), MIL-STD-130 (оборона), ATA Spec 2000 (авиация) и ISBT 128 (маркировка продуктов крови).
Безопасность QR определяется не безопасностью его URL, а безопасностью стандарта, регулирующего содержимое. Платёжный QR опасен из-за подмены наклейки; passkey QR опасен, потому что кто-то хочет войти под видом вас; QR записи о вакцинации опасен из-за того, у кого в руках сканер. Мы моделируем каждый случай отдельно, по его собственной модели угроз, с декодированием на уровне полей — а не угадыванием.
Каждый анализатор выше честно указывает, что он показывает и что намеренно скрывает — чтобы вы могли проверить наши утверждения по результатам сканирования, а не доверять чёрному ящику.