QR-koodien tietoturva sovellusten välisessä tiedonsiirrossa
Hannonen, Onnimanni (2024-12-18)
QR-koodien tietoturva sovellusten välisessä tiedonsiirrossa
(18.12.2024)
Julkaisu on tekijänoikeussäännösten alainen. Teosta voi lukea ja tulostaa henkilökohtaista käyttöä varten. Käyttö kaupallisiin tarkoituksiin on kielletty.
avoin
Julkaisun pysyvä osoite on:
https://urn.fi/URN:NBN:fi-fe202501071572
https://urn.fi/URN:NBN:fi-fe202501071572
Tiivistelmä
QR-koodien käyttö sovellusten välisessä tiedonsiirrossa on yleistynyt niiden helppokäyt-
töisyyden ja standardoinnin ansiosta. Erityisesti Covid-19-pandemian aikana QR-koodien
käyttö yleistyi, koska niiden avulla voidaan siirtää tietoa täysin kontaktittomasti. QR-
koodien yleisimmät käyttökohteet – esimerkiksi sisäänkirjautuminen, vahvistaminen ja
maksaminen – ovat tietoturvan näkökulmasta hyvinkin kriittisiä. Standardin mukainen
QR-koodi ei kuitenkaan oletusarvoisesti ole tietoturvallinen; on siis sovelluskehittäjän
vastuulla huolehtia, ettei QR-koodien käyttö kasvata sovelluksen hyökkäys pinta-alaa.
Tässä tutkielmassa selvitetään systemaattisen kirjallisuuskatsauksen keinoin, minkälaisia
uhkaskenaarioita QR-koodeihin kohdistuu ja miten niitä voidaan minimoida. Kirjallisuu-
dessa esitetyt uhkaskenaariot – vakoilu, tietojenkalastelu, peukalointi ja injektiohyökkäyk-
set – havainnollistetaan esimerkkien avulla. Uhkaskenaarioiden minimoimiseksi esitetyt
ratkaisut – salaus, steganografia, piilotus ja verifiointi – kootaan ja analysoidaan niiden
rajoitteita. Tunnistettujen rajoitteiden pohjalta tutkielmassa esitetään teoreettista pohjaa
uudelle monikerroksiselle QR-koodien tietoturvaa parantavalle menetelmälle.
töisyyden ja standardoinnin ansiosta. Erityisesti Covid-19-pandemian aikana QR-koodien
käyttö yleistyi, koska niiden avulla voidaan siirtää tietoa täysin kontaktittomasti. QR-
koodien yleisimmät käyttökohteet – esimerkiksi sisäänkirjautuminen, vahvistaminen ja
maksaminen – ovat tietoturvan näkökulmasta hyvinkin kriittisiä. Standardin mukainen
QR-koodi ei kuitenkaan oletusarvoisesti ole tietoturvallinen; on siis sovelluskehittäjän
vastuulla huolehtia, ettei QR-koodien käyttö kasvata sovelluksen hyökkäys pinta-alaa.
Tässä tutkielmassa selvitetään systemaattisen kirjallisuuskatsauksen keinoin, minkälaisia
uhkaskenaarioita QR-koodeihin kohdistuu ja miten niitä voidaan minimoida. Kirjallisuu-
dessa esitetyt uhkaskenaariot – vakoilu, tietojenkalastelu, peukalointi ja injektiohyökkäyk-
set – havainnollistetaan esimerkkien avulla. Uhkaskenaarioiden minimoimiseksi esitetyt
ratkaisut – salaus, steganografia, piilotus ja verifiointi – kootaan ja analysoidaan niiden
rajoitteita. Tunnistettujen rajoitteiden pohjalta tutkielmassa esitetään teoreettista pohjaa
uudelle monikerroksiselle QR-koodien tietoturvaa parantavalle menetelmälle.