Bir QR kodu web bağlantısı, Wi-Fi şifresi, ödeme, kişi kartı, biniş kartı, aşı kaydı, sürücü belgesi, akıllı ev eşleştirme kodu ve onlarca başka şey taşıyabilir. Çoğu güvenlik tarayıcısı yalnızca web bağlantılarını kontrol eder. Biz hepsini tanımlıyor ve açık bir dille kontrol ediyoruz.
Yükleniyor…
Her tür QR kodu için ne olduğunu, içinde ne olduğunu ve üzerinde işlem yapmanın güvenli olup olmadığını söylüyoruz; kişisel bilgilerinizi bu süreçte size sızdırmadan.
Poster, otopark parkmetresi veya restoran masasındaki QR kodu. Her yönlendirmeyi takip ediyor, kısaltıcı sahibini (Bitly, Linktree, TinyURL, markalı) adlandırıyor ve görünüşe benzer alan adlarını ile bilinen kimlik avı sitelerini işaretliyoruz. QR yazdırıldıktan sonra bağlantı değişebiliyorsa bunu belirtiyoruz; etiket değiştirme dolandırıcılıkları bu şekilde işler.
Otel veya kafenizin size verdiği QR kodu. Ağ adını, güvenlik türünü ve parolayı gösteriyor; sizi sahte bir erişim noktasına bağlamaya çalışan "Starbucks WiFi" / "Airport Free WiFi" taklit kodlarını işaretliyoruz.
Restoran kasa QR kodları, pazar tezgahı QR kodları, otopark parkmetresi QR kodları. Ödeme yapmadan önce işyeri adını, şehri, ülkeyi, tutarı ve para birimini gösteriyoruz; böylece kime ödeme yaptığınızı doğrulayabilirsiniz. 54 ülkeyi kapsıyor: PIX (Brezilya), UPI (Hindistan), PromptPay (Tayland), PayNow (Singapur), Bizum (İspanya), Swish (İsveç) ve daha fazlası.
Bitcoin, Ethereum, Solana, Lightning Network, Cashu ve daha fazlası. Adresi doğruluyoruz, tutarı çözümlüyoruz ve QR cüzdanınızın basit bir gönderme yerine akıllı sözleşme fonksiyonu çağırmasını istediğinde (genellikle bir drainer dolandırıcılığının başlangıcı) açıkça uyarıyoruz.
Kartvizitteki "kişimi kaydet" QR kodu. Ad, telefon, e-posta, kuruluş, adres, sosyal profiller, doğum günü ve notlar; telefonunuza tek dokunuşla ekleyebileceğiniz yapılandırılmış bir kart olarak sunuluyor. Tanınmış markalarla benzer adlar işaretleniyor.
Düğün sitelerinden, konferans rozetlerinden ve biletleme akışlarından gelen etkinlik QR kodları. Başlık, başlangıç, bitiş, tekrarlama (haftalık, aylık), konum, düzenleyici ve katılımcıların tamamı çözümlenerek Kabul Et'e dokunmadan önce takviminize ne eklendiğini görmenizi sağlıyoruz.
Ara-ara, mesaj gönder, e-posta gönder QR kodları. Premium ücretli telefon numaralarını (dakika başı ücret kesen türler), dolandırıcılık için kullanılan uluslararası kısa kodları ve sizi hassas bilgiler göndermeye kandırmaya çalışan önceden doldurulmuş e-posta konularını işaretliyoruz.
Kimlik doğrulayıcı kurmak için bankanızın, Google'ın veya iş uygulamanızın gösterdiği QR kodu. Veren kurumu ve hesabı çözümleyerek neye kayıt olduğunuzu doğrulayabilirsiniz; birinin tüm Google Authenticator paketini paylaşmaya çalışması (sahip oldukları her 2FA kodunu tek bir QR'de) durumunda açıkça uyarıyoruz.
Dizüstü bilgisayarınızın telefonunuzdan passkey girişini tamamlamanızı istediği QR kodu. Girişi kendiniz başlatmadıysanız açıkça uyarıyoruz; yabancının QR kodunu taramak onları sizin hesabınıza giriş yaptırır. Aynı hilesi WhatsApp Web, Telegram, Microsoft 365, Google, GitHub, AWS, Steam, Discord, Slack ve Apple ID için de yakalıyor.
ABD ve Kanada ehliyet kartlarının arka yüzündeki barkod (barlarda ve kulüplerde taranan), artı eyalet Trafik Müdürlüklerinden ve AB Dijital Kimlik Cüzdanı'ndan gelen mobil sürücü belgesi. Veren kurumu, kimlik belgesinin türünü ve taşıdığı nitelikleri gösteriyoruz; sahibin adını, adresini veya doğum tarihini hiçbir zaman görünür kılmıyoruz.
SMART Sağlık Kartları (aşı kayıtları, reçeteler, laboratuvar sonuçları) ve AB Dijital COVID Sertifikaları. Kimlik belgesinin ne olduğunu ve kimin tarafından verildiğini tanımlıyoruz; hasta adı, doğum tarihi veya tıbbi ayrıntıları kasıtlı olarak çözümlemiyoruz. Bu bilgileri görüntülemek için cüzdan uygulamanız doğru yerdir, kamuya açık bir tarayıcı sayfası değil.
Havayolu kartınızdaki QR kodu. Uçuş numarası, güzergah, tarih, koltuk ve sıra numarasının tamamı çözümlenerek kartı doğrulamanıza olanak tanır. Rezervasyon referansını (PNR) varsayılan olarak maskeliyoruz; çünkü adınız ve PNR birlikte olan herkes rezervasyonunuza erişebilir. Biniş kartı fotoğraflarını kamuya açık paylaşmayın.
Evinize yeni bir cihaz eklemek için taradığınız Matter ve Apple HomeKit eşleştirme QR kodları. Satıcıyı, ürünü, kurulum parolasını ve katılmaya çalışacağı ağ türlerini çözümlüyoruz; böylece değiştirilmiş bir etiket, kontrol etmediğiniz bir ağa sessizce cihaz kaydettiremiyor.
Telefon hattı kurulumu için taradığınız QR kodu. Bağlanacağı operatör sunucusunu, aktivasyon kodunu ve onay kodu gerekip gerekmediğini gösteriyoruz. Yüklü bir eSIM'in SMS'leri kesebileceğine dair net bir uyarı veriyoruz; bu uyarı metin yoluyla aldığınız 2FA kodlarını da kapsar.
WireGuard yapılandırma QR kodları. Sunucu adresini, izin verilen IP'leri ve DNS'i gösteriyor; trafiğinizin tamamını başka birinin sunucusundan yönlendirecek tam tünel yapılandırmalarını işaretliyoruz. QR içindeki özel anahtar varsayılan olarak maskelenir.
Paketli ürünlerdeki GS1 Digital Link QR kodları; 2027 yılına kadar geleneksel barkodların yerini alması beklenen format. Ürün kodunu (GTIN), seri/lot numarasını, son kullanma tarihini ve seri numarasını çözümleyerek bir ürünün orijinalliğini hızla doğrulamanızı sağlıyoruz.
İsviçre faturalarındaki QR kodu. IBAN, alacaklı adı ve adresi, tutar, para birimi ve referans bilgilerini çözümleyerek ödemenin kime yapılacağını tam görünürlükle bankacılık uygulamanızda açmanıza olanak tanıyoruz.
Bazı QR formatları bir taramadan hiçbir zaman çalıştırılmamalıdır: javascript:, yürütülebilir dosya URI'leri ve JavaScript kodlu veri bloları. Bunları kesin olarak engelliyoruz ve nedenini açıklıyoruz. İşlem düğmesi tasarım gereği devre dışıdır.
Cashu ecash jetonları gerçek paradır; QR kodunu fotoğraflayan herkes harcayabilir. Bunu açıkça belirtiyoruz. LNURL uç noktaları (Lightning girişi, çekim, ödeme) cüzdanınızın nereye bağlanacağını görmek için dokunmadan önce çözümleniyor.
QR yalnızca düz metin içerdiğinde bile yerleşik URL'leri, sızdırılmış sırları (API anahtarları, JWT'ler, SSH anahtarları), aşağı akış asistanlarını hedef alan yapay zeka komut enjeksiyon kalıplarını ve tehlikeli bağlantıları gizleyen görünüşe benzer unicode karakterleri kontrol ediyoruz.
"qr.abundera.ai/r/abc → walmart.com, temiz ✓"
Tam bu an için doğru. Ancak bir otopark parkmetresindeki QR etiketi önce bir kısaltıcıdan geçiyor. Hesap sahibi hedefi istediği zaman değiştirebilir. Bugün temiz bir QR yazdırın, hedefi yarın bir kimlik avı sayfasına değiştirin; aynı fiziksel etiketin sonraki her taraması kimlik avına yönlendirir. URL tarayıcısı bunun mümkün olduğunu size hiç söylemedi.
"Bir kısaltıcıdan geçiyor. Hesap sahibi yazdırma sonrasında hedefi değiştirebilir. Bugün walmart.com'a yönlendiriyor (temiz)."
Tek bir kararda iki yanıt. Şimdi: bugün güvenli mi? Sonra: yarın kim değiştirebilir? İkisi de yazdırdıktan sonra geri alamayacağınız bir yüzeydeki QR için önemlidir.
Kimlik bilgileri ve kimlik belgeleri için taradığınız QR türünü tanımlıyoruz; ancak içindeki kişisel bilgileri kasıtlı olarak çözümlemiyoruz.
Bir kimlik doğrulayıcı uygulama dışa aktarma ya da kurulum kodu taradığınızda, onu tanımlıyor ve yanlış yerde taramanın tehlikesini uyarıyoruz; ancak gerçek gizli tohumlar sunucumuz tarafından hiçbir zaman çözümlenmiyor. Kimlik doğrulayıcı uygulamanıza gidiyor, bize değil.
Aşı kayıtları ve sağlık sertifikaları: veren kurumu (hangi hükümet / sağlık otoritesi) ve kayıt türünü gösteriyoruz. Adınız, doğum tarihiniz ve tıbbi geçmişiniz kimlik belgesi içinde kalıyor; tarayıcımız aracılığıyla hiçbir zaman görünür kılınmıyor.
Kartı doğrulayabilmeniz için uçuş bilgilerini gösteriyoruz; ancak rezervasyon referansını, karardaki ekran görüntüsünün rezervasyonunuza erişim yolu olmaması için dokunarak göster şeklinde maskeliyoruz.
QR formundaki WireGuard ve SSH özel anahtarları, kendi cihazınızda dokunarak gösterebileceğiniz maskeli alanlar olarak sunuluyor. Üçüncü bir tarafa gönderilmiyor.
İzlediğimiz birkaç yeni QR formatı. Standart oturduğunda her birini ekliyoruz.
AB'nin sınır ötesi dijital kimlik cüzdanı (eIDAS 2.0) 2024-2026 arasında kullanıma giriyor. Yakından ilgili mobil sürücü belgesi formatını zaten çözümlüyoruz; AB cüzdanı varyantı üye devlet kullanımları istikrar kazandığında gelecek.
AB düzenlemesi her tüketici ürününün 2027'ye kadar dijital pasaport (sürdürülebilirlik, köken, onarım bilgisi) taşımasını zorunlu kılıyor. Format zaten bugün çözümlediğimiz bir GS1 Digital Link URL; üreticiler verilerini yayınladıkça tam pasaport yüzeyi zenginleşecek.
Bluetooth SIG, mesh ağı cihaz devreye alma için bir QR formatını standartlaştırıyor (bugünkü eşleştirme QR'ları satıcıya özgü). Spesifikasyon yayınlandığında destek ekleyeceğiz.
QR Code, Aztec (mobil biniş kartları), PDF417 (ABD sürücü belgeleri), Data Matrix (ilaç + perakende), Code 128/39/93, Codabar, EAN-13/8 (market ürünleri), UPC-A/E (ABD perakendecilik), ITF (koliler), MaxiCode (UPS sevkiyat etiketleri), GS1 DataBar + DataBar Expanded (sebze meyve, kuponlar). Kamerayı bunlardan herhangi birine tutun, QR ile aynı şekilde içeriği çözümleyip sınıflandırıyoruz.
Kullanıcıların karşılaşabileceği her barkod formatını izliyoruz. Bunlar gündemimizde ancak bugün tarayıcı JavaScript'iyle erişilemiyor; ya üretim ortamında çözücü yok, ya standart yalnızca araştırma aşamasında ya da format kullanımdan kalkmış. Uygulanabilir bir yol açıldığında (tarayıcı kütüphanesi, yerel uygulama veya sunucu tarafı çözüm) destek ekleyeceğiz.
Çince ulusal 2B semboloji (GB/T 21049-2007). Endüstriyel lojistik ve devlet belgeleri için kullanılır. Bugün üretim ortamında çalışan JavaScript çözücü bulunmuyor; zxing-cpp'de deneysel destek mevcut olup planlanan Abundera QR Check yerel uygulamasıyla birlikte gelecek.
Alman BSI tarafından sahtecilik karşıtı ambalaj için standartlaştırılmış renkli 2B barkod. Referans uygulama yalnızca araştırma amaçlı C kodudur; JavaScript portu mevcut değil. Bakımlı bir port için izleme sürdürülüyor.
Tütün ve ilaç sektörlerinde kullanılan yüksek hızlı endüstriyel baskı formatı. Bugün hiçbir JavaScript çözücüsü kaliteli fikstürlerle bile güvenilir biçimde okuyamuyor. Yerel uygulama yığını için gündemde.
PostNet, PLANET, Intelligent Mail (USPS), RM4SCC (Royal Mail), KIX (Hollanda), Australia Post 4-State. Bakımlı JavaScript kütüphanesi olmayacak kadar niş. Müşteri kullanım senaryosu ortaya çıkarsa yerel uygulama veya sunucu tarafı çözücü değerlendiririz.
Microsoft bu renkli barkod formatını 2015'te tarayıcı SDK'sıyla birlikte kullandı dışı bıraktı. Desteklenemez; eski pazarlama materyali elinde bulunan herkesin tarayamayacağını bilmesi için buraya eklendi.
Endüstriyel niş 2B formatlar. Üretim ortamında JavaScript çözücü yok. Her biri doğada yeterince nadir ki yalnızca doğrulanmış bir müşteri talebi olursa yatırım yaparız.