En QR-kod kan innehålla en webblänk, ditt Wi-Fi-lösenord, en betalning, ett kontaktkort, ett boardingkort, ett vaccinationsintyg, ett körkort, en smarthems-parkopplingskod och dussintals andra saker. De flesta säkerhetsskannrar kontrollerar bara webblänkar. Vi identifierar och kontrollerar alla, på ett enkelt språk.
Laddar…
För varje typ av QR-kod berättar vi vad det är, vad som finns inuti och om det är säkert att agera på, utan att läcka din personliga information tillbaka till dig i processen.
QR-koden på en affisch, parkeringsautomat eller restaurangbord. Vi följer varje omdirigering, namnger shortener-ägaren (Bitly, Linktree, TinyURL, varumärke) och flaggar liknande domäner och kända nätfiskesajter. Om länken kan ändras efter att QR-koden är tryckt, säger vi det. Det är så klistermärkesbytsbedrägerier fungerar.
QR-koden ditt hotell eller café ger dig. Vi visar nätverksnamnet, säkerhetstypen och lösenordet, och flaggar falska "Starbucks WiFi" / "Airport Free WiFi"-kopior som försöker lura dig att ansluta.
QR-koder vid restaurangkassor, marknadsstånd och parkeringsautomater. Vi visar handlarens namn, stad, land, belopp och valuta innan du betalar, så att du kan kontrollera att du betalar rätt person. Täcker 54 länder: PIX (Brasilien), UPI (Indien), PromptPay (Thailand), PayNow (Singapore), Bizum (Spanien), Swish (Sverige) och många fler.
Bitcoin, Ethereum, Solana, Lightning Network, Cashu med mera. Vi validerar adressen, avkodar beloppet och varnar tydligt när en QR-kod ber din plånbok anropa en smart-kontraktsfunktion (ofta början på ett drainerbedrägeri) snarare än att göra en enkel överföring.
QR-koden "spara min kontakt" på ett visitkort. Namn, telefon, e-post, organisation, adress, sociala profiler, födelsedag och anteckningar visas som ett strukturerat kort du kan lägga till i telefonen med ett tryck. Liknande namn mot välkända varumärken flaggas.
Evenemangs-QR från bröllopswebbplatser, konferensbrickor och biljettsystem. Titel, start, slut, upprepning (veckovis, månadsvis), plats, arrangör och deltagare, allt avkodat så att du ser exakt vad som läggs till i din kalender innan du trycker Acceptera.
QR-koder för ring, skicka SMS och skicka e-post. Vi flaggar premienummer (de som debiterar per minut), internationella kortkoder som används för bedrägeri och förifyllda e-postämnen som försöker lura dig att skicka känslig information.
Den QR-kod din bank, Google eller arbetsapp visar när du konfigurerar en autentiserare. Vi avkodar utgivaren och kontot så att du kan bekräfta vad du registrerar, och vi varnar tydligt när någon försöker dela hela sitt Google Authenticator-paket (en QR-kod som innehåller alla deras 2FA-koder).
QR-koden din dator visar som ber din telefon slutföra en passkey-inloggning. Vi varnar tydligt om du inte själv startade en inloggning. Att skanna en okänd persons QR loggar in dem på ditt konto. Fångar också samma trick på WhatsApp Web, Telegram, Microsoft 365, Google, GitHub, AWS, Steam, Discord, Slack och Apple ID.
Streckkoden på baksidan av amerikanska och kanadensiska körkort (den som barer och klubbar skannar), plus mobila körkort från statliga fordonskontor och EU Digital ID Wallet. Vi visar utfärdaren, typen av legitimation och vilka uppgifter den innehåller, och vi återger aldrig innehavarens namn, adress eller födelsedatum.
SMART Health Cards (vaccinationsintyg, recept, labbresultat) och EU:s digitala covidcertifikat. Vi identifierar vad intyget är och vem som utfärdat det, men vi avkodar medvetet inte patientnamn, födelsedatum eller medicinska uppgifter. Din plånboksapp är rätt ställe att visa dem, inte en offentlig skannersida.
QR-koden på ditt flygbordkort. Flygnummer, rutt, datum, plats och löpnummer, allt avkodat så att du kan verifiera kortet. Vi döljer bokningsreferensen (PNR) som standard, eftersom vem som helst med ditt namn och PNR kan komma åt din bokning. Publicera inte bilder på boardingkort offentligt.
Matter och Apple HomeKit-parkopplings-QR som du skannar för att lägga till en ny enhet i ditt hem. Vi avkodar tillverkare, produkt, installationslösenord och vilka nätverkstyper den försöker ansluta till, så att ett utbytt klistermärke inte i smyg kan anmäla en enhet till ett nätverk du inte kontrollerar.
QR-koden du skannar för att installera ett telefonabonnemang. Vi visar operatörens server den kommunicerar med, aktiveringskoden och om en bekräftelsekod krävs. Tydlig varning om att ett installerat eSIM kan fånga upp SMS, inklusive eventuella 2FA-koder du får via text.
WireGuard-konfigurations-QR. Vi visar serveradressen, tillåtna IP-adresser och DNS, och flaggar heltrunnelskonfigurationer som skulle dirigera all din trafik genom någon annans server. Den privata nyckeln i QR-koden döljs som standard.
GS1 Digital Link-QR på förpackade varor, formatet som kommer ersätta traditionella streckkoder för vardagsprodukter 2027. Vi avkodar produktkoden (GTIN), batch- och lottnummer, utgångsdatum och serienummer, så att du snabbt kan verifiera en produkts äkthet.
QR-koden på schweiziska fakturor. Vi avkodar IBAN, borgenärsnamn och adress, belopp, valuta och referens, så att du kan öppna den i din bankapp med full insyn i vem som betalas.
Vissa QR-format ska aldrig köras från en skanning: javascript:, körbara fil-URI:er och JavaScript-kodade datablobbar. Vi blockerar dessa hårt och berättar varför. Åtgärdsknappen är inaktiverad avsiktligt.
Cashu ecash-tokens är bokstavligen pengar, vem som helst som fotograferar QR-koden kan spendera dem. Vi flaggar detta tydligt. LNURL-endpoints (Lightning-inloggning, uttag, betalning) avkodas så att du ser vart din plånbok ansluter innan du trycker.
När QR-koden bara är vanlig text kontrollerar vi ändå om den innehåller inbäddade URL:er, läckta hemligheter (API-nycklar, JWT:er, SSH-nycklar), AI-promptinjektionsmönster riktade mot nedströms-assistenter och förvirrande unicode-tecken som döljer farliga länkar.
"qr.abundera.ai/r/abc → walmart.com, rent ✓"
Sant just nu. Men QR-klistermärket på en parkeringsautomat går via en shortener först. Kontoinnehavaren kan ändra destinationen när som helst. Skriv ut en ren QR-kod idag, byt mål till en nätfiskesida imorgon, varje efterföljande skanning av samma fysiska klistermärke hamnar på nätfiske. URL-skannern berättade aldrig att det var möjligt.
"Går via en shortener. Kontoägaren kan ändra destinationen efter tryckning. Idag leder den till walmart.com (rent)."
Två svar i ett utlåtande. Nu: är det säkert idag? Senare: vem kan ändra det imorgon? Båda spelar roll för en QR-kod på en tryckt yta du inte kan otrycka.
För inloggningsuppgifter och identitetshandlingar identifierar vi vilken typ av QR-kod du skannade, men vi avkodar medvetet inte den personliga informationen inuti.
När du skannar en autentiseringsapp-export eller konfigurationskod identifierar vi den och varnar dig om att skanna den på fel ställe, men de faktiska hemliga fröna avkodas aldrig av vår server. De skickas till din autentiseringsapp, inte till oss.
Vaccinationsintyg och hälsocertifikat: vi visar utfärdaren (vilken regering eller hälsomyndighet) och vilken typ av intyg det är. Ditt namn, födelsedatum och medicinska historia stannar inuti intyget och återges aldrig via vår skanner.
Vi visar flyginformationen så att du kan verifiera kortet, men döljer bokningsreferensen bakom ett tryck-för-att-visa, så att en skärmdump av vårt utlåtande inte i sig är ett sätt att komma åt din bokning.
WireGuard- och SSH-privata nycklar i QR-form visas som dolda fält du kan trycka för att avslöja på din enhet. De skickas inte till någon tredje part.
Några framväxande QR-format vi bevakar. Vi rullar in dem allteftersom standarden stabiliseras.
EU:s gränsöverskridande digitala identitetsplånbok (eIDAS 2.0) rullas ut 2024-2026. Vi avkodar redan det nära besläktade mobila körkortsformatet. EU-plånboksvarianten kommer när medlemsstaternas utrullningar stabiliseras.
EU-förordningen kräver att varje konsumentprodukt bär ett digitalt pass (hållbarhet, ursprung, reparationsinformation) senast 2027. Formatet är redan en GS1 Digital Link-URL, som vi avkodar idag. Den fullständiga passinformationen blir rikare i takt med att tillverkare publicerar sina data.
Bluetooth SIG standardiserar ett QR-format för driftsättning av mesh-nätverksenheter (dagens parkopplings-QR är leverantörsspecifika). Vi lägger till stöd när specifikationen är klar.
QR Code, Aztec (mobila boardingkort), PDF417 (amerikanska körkort), Data Matrix (läkemedel och detaljhandel), Code 128/39/93, Codabar, EAN-13/8 (livsmedel), UPC-A/E (amerikansk detaljhandel), ITF (kartonger), MaxiCode (UPS-fraktetiketter), GS1 DataBar + DataBar Expanded (råvaror, kuponger). Rikta kameran mot någon av dessa och vi avkodar och klassificerar nyttolasten på samma sätt som för QR.
Vi spårar varje streckkodsformat som användare kan stöta på. Dessa är på vår radar men går inte att nå i webbläsarens JavaScript idag, antingen finns ingen produktionsavkodare, standarden är enbart för forskning eller formatet är avvecklat. Vi lägger till stöd så snart en genomförbar väg öppnar sig (webbläsarbibliotek, inbyggd app eller serversideavkodning).
Kinesisk nationell 2D-symbologi (GB/T 21049-2007). Används för industriell logistik och statliga dokument. Ingen produktionsredo JavaScript-avkodare finns idag. Experimentellt stöd finns i zxing-cpp, som kommer när vi lägger till den inbyggda Abundera QR Check-appen (planerad).
Färgad 2D-streckkod standardiserad av tyska BSI för förfalskningsskyddad förpackning. Referensimplementationen är enbart forskningskod i C. Ingen JavaScript-port finns. Vi håller utkik efter en underhållen port.
Höghastighets industriellt utskriftsformat som används av tobaks- och läkemedelssektorn. Ingen JavaScript-avkodare läser det tillförlitligt idag, ens med kvalitetsfixtures. På radarn för den inbyggda appstacken.
PostNet, PLANET, Intelligent Mail (USPS), RM4SCC (Royal Mail), KIX (nederländska), Australia Post 4-State. Tillräckligt nischade för att inga underhållna JavaScript-bibliotek finns. Om ett kundfall dyker upp utvärderar vi en inbyggd app- eller serversideavkodare.
Microsoft lade ned det här färgstreckkodsformatet 2015 tillsammans med sitt skanner-SDK. Kan inte stödjas. Taget med här för fullständighetens skull så att alla som håller gammalt marknadsföringsmaterial vet att det inte går att skanna.
Industriella nisch-2D-format. Inga produktionsredo JavaScript-avkodare. Var och en är tillräckligt sällsynt i praktiken för att vi bara investerar om en verifierad kund efterfrågar det.