De flesta av oss kommer i kontakt med Quick Response Code-tekniken ett par gånger i veckan. Lågt räknat. Driver du verksamhet, eller är ekonomiskt aktiv av någon annan anledning, skannar du kvadratiska kodrutor flera gånger om dagen. Enligt företaget Swish hade 85 procent av svenskarna använt minst en qr-kod under 2021. Motsvarande siffra för tio år sedan var strax under tio procent. Utvecklingstakten internationellt följer samma mönster. Det första kvartalet i år så fyrdubblades skanningen av qr-koder bland världens 6,6 miljarder mobilanvändare, enligt analysföretaget Statista.

Många användningsområden

Att beteendet att avläsa koder med mobilkamera är här för att stanna, i alla fall under överskådlig tid, torde vara ett oomtvistligt faktum. Och då är det rimligt att resonera kring vilka faktorer som drivit på utvecklingen.

Till att börja med kan vi kika på några av de användningsområden där qr-koder kommit att bli dominerande. Redan nämnt är nätbankerna, som inneburit smidigare och säkrare inloggning när du vill pyssla med eller spendera dina surt förvärvade slantar. Till det kan vi räkna in viktiga myndigheter som Skatteverket, Pensionsmyndigheten och e-brevtjänster som Kivra. Detsamma gäller mobila betalningar av olika slag, exempelvis i butiker.

Men qr-koder kan användas, och används, till så mycket mer. Information och marknadsföring är ett segment där användare allt oftare uppmanas att skanna en kod för att bli förflyttad till ett erbjudande av något slag eller ren och skär reklam. Och det saknas inte uppseendeväckande exempel på det sistnämnda.

Sky Elements Drone Shows
Foto: Sky Elements Drone ShowsSky Elements Drone Shows heter företaget som genomförde den spektakulära reklamen för tv-serien Halo.

I mars i år bildade fyrahundra drönare en qr-kod över staden Austin under festivalen South by Southwest i Texas i USA. Koden ledde vidare till reklam för tv-serien Halo, som i sin tur är baserad på ett Xbox-spel. Ytterligare viktiga funktioner som kodsystemet kommit att fylla är vid verifikation vid resor (elektroniska biljetter) och inom hälso- och sjukvårdssektorn.

Covid-19-pandemin innebar en accelererad övergång till ett kontakt- och kontantlöst samhälle i smått och stort. Och då passade, och passar, skanningen av koder med mobilkamera som handen i handsken, jämfört med att trycka in knappar på osanitära kontrollenheter med kanske tusentals användare per dag.

Läs också: Så gör du Gmail säkrare – och stoppar övervakningen

Falska vaccinpass

Det tog tyvärr inte lång tid innan de så kallade Covid-passen, alltså en qr-kod som garanterade att innehavaren är vaccinerad, blev utsatt för lyckade bedrägerier. I oktober 2021, och framåt, spreds falska koder via nätet. Skannades koden, exempelvis i entrén till en konsert med dåvarande restriktioner om giltigt vaccinbevis för att får närvara, fungerade den förfalskade koden som bisarrt nog uppgav att en Adolf Hitler varit fullvaccinerad sedan år 1900. Myndigheten för digital förvaltning (DIGG) ska senare ha tätat säkerhetshålet som tillät manipuleringen med falska vaccineringsbevis.

Pixabay
Foto: PixabayFörfalskade vaccinbevis utnyttjade svagheter i qr-kodsystemet.

Det finns uppenbarligen aspekter av qr-kodsystemet som gör det problematiskt, rent säkerhetsmässigt.

– För det första är qr-koder ett relativt komplicerat format för att koda information. Mycket mer avancerat än en vanlig länk, vilket i sig kan vara invecklat nog. Och alla ting som ska läsa en qr-kod måste kunna tolka formatet. Om det finns buggar i tolken kan buggarna ge sårbarheter som kan utnyttjas av skadlig kod, förklarar Joachim Strömbergson, IT-säkerhetsspecialist på konsultbolaget Assured AB.

Oläsliga krumelurer

Qr-koder är till sin natur helt obegripliga för oss människor. Det finns inget sätt för dig eller mig att enkelt kontrollera vad för information, till exempel en länk till en webbplats, som finns inbäddad i koden. Med en textbaserad länk går det i viss mån att läsa sig till vad den pekar på. Även om det naturligtvis finns tricks för att lura användaren även där, så kallat nätfiske (phishing), vanligen utfört via e-post.

Joachim Strömberson, IT-säkerhetsspecialist på konsultbolaget Assured AB.
Joachim Strömbergson är IT-säkerhetsspecialist på konsultbolaget Assured AB.

– En nätfiskelänk går att koda som en qr-kod och det gör det ännu svårare att bedöma. Inte minst för att när en qr-kod skannas och mobilen öppnar upp sidan går det ofta fort. Användaren har mindre tid på sig att se vad som stod i länken. Qr-koder gör det även möjligt att lura användare på andra platser och andra vägar, så kallade attackvektorer på it-säkerhetsspråk. Med qr-koder går det att angripa användare ute på stan bara genom att sätta upp klisterlappar, för att ta ett exempel bland många, berättar Joachim Strömbergson.

Läs också: 16 tips som maxar säkerheten i Windows 11

Det finns minst två sorters kända sårbarheter i tolkar av qr-koder. Det är givetvis två för mycket. Samtidigt kommer med all sannolikhet fler sårbarheter att uppdagas med tiden. Det är så hela it-utvecklingen framlöpt hittills. Frågan för dagen dock vad som kan göras för att stärka säkerheten i det system som är på så kraftig frammarsch både i Sverige och internationellt.

Fort och fel

– I första hand genom att bli mer medveten om att en qr-kod inte per automatik är att lita på. Vi talar om för användarna att inte klicka på okända länkar i mejl eller meddelanden. Men vi säger till användarna att skanna qr-koder för att göra saker som rör deras identitet och pengar, det hänger inte riktigt ihop, konstaterar Joachim Strömberson på Assured AB.

Med cirka 17 miljoner elektroniska identifieringar per dygn är svenska BankID-systemet en av landets mest populära digitala tjänster, alla kategorier inräknade. Det nuvarande systemet för qr-koder som används är mycket svårt för bedragare att ta sig förbi.

– Vi använder inte qr-koder för att länka användaren vidare till en tjänst. BankID använder rörliga qr-koder, enbart för att säkra att telefon och dator befinner sig hos samma användare när en identifiering sker. Som alltid när du använder BankID är det av yttersta vikt att alltid kontrollera var på nätet du identifierar dig och vad du signerar digitalt, säger Andreas Bergqvist, säkerhetschef på BankID.

Du kanske har märkt att qr-koder är animerade och byts ut rätt hastigt när du ska identifiera dig digitalt och logga in på din bank via nätet. Det är en del av det förstärkta skydd som BankID kallar ”Säker start”.

– 85 procent av alla BankID-transaktioner sker idag med ”Säker start” och är därmed skyddade med bland annat rörliga qr-koder. Vi uppmanar samtliga företag och myndigheter som använder BankID i sina e-tjänster att implementera ”Säker start”, säger Andreas Bergqvist på BankID.

BankID
Andreas Bergqvist, säkerhetschef på BankID.

Ökad säkerhet

Det förstärka skyddet för BankID-användarnas identiteter blir tvingande från och med den 1 maj år 2024. Hos den största utfärdaren av e-id i landet är de väl medvetna om att qr-koder används för försök till bedrägerier och identitetskapningar.

– Som användare av BankID-appen är det också viktigt att inte följa länkar i mejl och sms som kan leda till falska tjänster. Starta alltid webbläsaren och surfa själv till tjänsten eller använd tjänstens app. Om du blir uppringd eller på annat sätt uppmanad att installera programvara på din dator/telefon av någon, som kan påstå sig vara från polisen eller banken, ska du aldrig göra detta, varnar Andreas Bergqvist på BankID.

– Mobiltillverkarna, men även app- och tjänsteutvecklarna, kan stödja användaren bättre genom att visa information om vad qr-koden innehåller, vart länkar leder och vad som ska bekräftas. Där tror jag det finns mer att göra. Risken är samtidigt att det upplevs som krångligt, och ändå ignoreras av användarna, avslutar Joachim Strömbergson, IT-säkerhetsspecialist på konsultbolaget Assured AB.



Qr-koder – en kort historik

QR-kod

1879
Saloon-ägaren James Ritty i Ohio i USA uppfinner den första kassaapparaten med ”koder” som mekaniskt översätts till de priser som kunderna (törstiga cowboys, förslagsvis) ska betala.

1951
Amerikanerna Norman Joseph Woodland och Bernard Silver uppfinner och patenterar streckkodsystemet. Det skulle dock dröja årtionden innan tekniken med kod som kunde avläsas optiskt skulle nå allmänheten.

1974
Clyde Dawson blir den första personen att skanna en vara med streckkod i en butik. Livsmedelsaffären låg i staden Troy i Ohio och varan var ett paket tuggummi av märket Juicy Fruit.

The Smithsonian
Foto: The SmithsonianDen första varan vars streckkod avlästes i en butikskassa.

1994
Streckkodsystemets begränsningar, att det endast kan innehålla information motsvarande 20 tecken (bokstäver och siffror) gör att det inte implementeras på bred front i exempelvis Asien. Detta löser det japanska företaget Denso genom att utveckla Quick Response Code, ett system för att koda information in i svartvita kvadratiska bilder med mönster. Den största varianten med 177 x 177 pixlar kan innehålla
7 089 siffror eller 4 296 alfanumeraler (skrivtecken, bokstäver och siffror). Det finns även mindre varianter som Micro QR som finns i så små storlekar som 11 x 11 pixlar. Quick Response Code förkortas vanligen som qr, eller qr-kod.

2004
Qr-kodsystemet blir en JIS-standard, vilket är den japanska motsvarigheten till SIS, DIN och liknande nationella standardiseringsorganisationer.

2011
GS1, en standardiseringsorganisation för telekomindustrin, godkänner qr-systemet som internationell standard för mobiltelefoner och andra handhållna apparater. Detta blir genombrottet för tekniken, utanför detaljhandelsnäringen.

2014
Så kallad Ram-qr (Frame-qr) införs, vilket innebär att kod som ska skannas kan läggas som en ram runt ett foto eller en illustration. Detta gör kodbilderna mer igenkänningsbara för konsumenter och ökar användningen.

2018
Svenska BankID inför qr-koder vid elektronisk identifiering, till exempel vid inloggningen till nätbanker och myndigheter.