QR 코드 로그인을 해킹해 상대방 계정으로 로그인 하는 ‘QRL재킹‘ 공격이 발표되었다. QR 로그인은 왓츠앱, 라인, 위챗 등의 데스크탑 애플리케이션에서 사용되며 웹사이트가 보여주는 QR 코드를 스마트폰 카메라로 스캔만 하면 패스워드 없이 로그인이 가능하다. QR 코드 로그인은 man-in-the-middle, 무작위 대입 공격 등이 적용되지 않아 패스워드보다 더 안전한 것으로 알려져 있다.
이집트 보안회사 Seekurity Labs의 보안 연구원 모하메드 엘노우비는 QR 코드 인증 서비스를 이용해 계정을 해킹하는 시연을 발표했다. 공격은 사용자를 공격자가 만든 피싱 사이트로 유인해 공격자의 QR 코드를 스캔하도록 하는 방식으로 진행된다.
공격자는 클라이언트 사이드 QR 세션을 초기화하고 피싱 웹사이트에 로그인 QR 코드를 복사해 붙여 넣는다. 그런 다음 사용자를 유인해 사용자 모바일폰으로 피싱 사이트의 QR 코드를 스캔하도록 만든다. 사용자가 특정 모바일폰 앱으로 QR 코드를 스캔하면 공격자는 사용자 계정으로 로그인 된다. 공격자는 사용자의 모든 데이터를 공격자의 브라우저 세션으로 바꿔치기 할 수 있다.
엘노우비 연구원은 QR 코드는 일정 시간 간격으로 만료되기 때문에(예를 들어 왓츠앱은 20초 간격) QR 코드가 피싱 웹사이트에 동시에 업데이트 되도록 스크립트를 제작해야 공격에 성공할 수 있다고 강조했다.