Lange fristete er ein Schattendasein und wurde meist nur für Marketing-Aktionen oder in der Logistik verwendet, nun gelangt er durch den grünen Pass zu unerwarteter Berühmtheit: jener schwarz-weiße QR-Code, hinter dem die Information hinterlegt ist, ob eine Person getestet, geimpft oder genesen ist. Das ist praktisch. Parallel dazu warnen Experten jedoch, dass es zu einer neuen Welle an schädlichen Apps gekommen sei.

Denn viele Userinnen und User laden sich aus Neugierde Apps herunter, um selbst den QR-Code des sogenannten grünen Passes zu scannen und zu sehen, was anschließend geschieht. Auf Android-Smartphones handelt es sich bei den vermeintlichen QR-Scannern aber manchmal um Malware, die Schaden anrichten kann. So läuft die App im Hintergrund mit und kann an sensible Informationen gelangen.

Zu diesen Informationen können etwa auch Zugangsinformationen gehören, wie es seitens der Erste Bank gegenüber dem STANDARD heißt. Die Bank warnt daher derzeit Userinnen und User über Benachrichtigungen in der hauseigenen George-App.

Barcode Scanner wurde zur Malware

Bereits im Februar hatten Security-Experten gewarnt, dass sich die beliebte und jahrelang genutzte App "Barcode Scanner" im Rahmen eines Updates in Malware verwandelt habe. Zuvor war die App seit 2017 im Play Store gewesen und über zehn Millionen Mal heruntergeladen worden – erst im Rahmen des Updates wurde die Malware eingespeist.

Die einstimmige Empfehlung lautete damals, die App zu deinstallieren. Und auch in der aktuellen Welle lautet der beste Ratschlag: lieber weniger als mehr Apps auf dem eigenen Smartphone behalten.

Malware vermeiden

So sollte die Installation derartiger Apps grundsätzlich nur aus dem offiziellen Google Play Store beziehungsweise der Huawei App Gallery und nicht aus Drittquellen erfolgen. Innerhalb der Stores sind niedrige Downloadzahlen und schlechte Bewertungen ein Indiz – wenn auch nicht das alleinige Kriterium – für etwaige betrügerische Apps.

Ist die App installiert, so sollten nur jene Berechtigungen erteilt werden, die wirklich notwendig sind. So braucht ein simpler QR-Code-Scanner keinen Zugriff auf Kontakte, Speicher oder Telefon. Vorsicht ist zudem geboten, wenn Apps nach Berechtigungen für Bedienungshilfen, Eingabehilfen oder Geräteverwaltung fragen.

Überhaupt fragt sich, warum man als Android-User überhaupt einen QR-Code-Scanner herunterladen sollte – denn bei modernen Android-Smartphones ist ein QR-Reader im Rahmen von Google Lens direkt in die Kamera-App integriert. Zum Scannen fokussiert man also die Kamera lediglich auf den Code und führt anschließend die gewünschte Aktion aus. Die QR-Codes aus dem grünen Pass können via qr.gv.at verifiziert werden.

Generell schadet es überdies nicht, die eigene App-Sammlung mal zu überprüfen – dazu hat DER STANDARD zuletzt im Frühjahr geraten – und gehörig auszumisten. Auch diverse Sicherheitschecks sollten durchgeführt werden, um etwaige Malware zu erkennen und dann zu entfernen.

Breite Unwissenheit zum Thema QR-Codes

Dass auch in Zeiten des grünen Passes eine gewisse Unwissenheit rund um das Thema QR-Codes besteht, zeigt auch eine Umfrage, die der Sicherheitsanbieter Ivanti unter 500 britischen Konsumenten durchgeführt hat.

Demnach geben zwar 96 Prozent an, in den vergangenen sechs Monaten mit ihren Smartphones QR-Codes gescannt zu haben, und 80 Prozent sagen, dass diese Technologie ihr Leben leichter gemacht habe. Allerdings glauben auch 65 Prozent der Befragten, dass QR-Codes bloß Links öffnen können; über die zusätzlichen Funktionen – etwa auch, dass der Download einer App gestartet werden könnte – ist ihnen nichts bekannt.

Vorsicht beim Scannen von Codes

Dementsprechend sollte nicht nur bei der Auswahl des gewünschten QR-Code-Scanners mit Vernunft vorgegangen werden, sondern auch bei der Auswahl der zu scannenden Codes. "Zum Beispiel könnten Verbrecher legale Codes in Restaurants mit welchen überkleben, bei denen man dem Kriminellen seinen Urlaub anstatt den Freunden die nächste Runde an Drinks spendiert", sagt Nigel Seddon, VP EMEA West bei Ivanti.

Einen Fall dieser Art hatte es erst im Juni gegeben – allerdings nicht in der Gastro-, sondern in der Banking-Branche. Hier wurden Kunden in gefälschten Mails aufgefordert, mit ihren Smartphones QR-Codes zu scannen, die wiederum einen Download des Banking-Trojaners Cerberus starteten. Dieser ermöglicht dem Angreifer das Abfangen der Zwei-Faktor-Authentifizierung, wodurch selbiger Überweisungen vom Konto des Opfers durchführen kann. (Stefan Mey, 15.7.2021)