Prepare-se para enxergar os QR codes com outros olhos! Eles estão por toda parte: supermercado, pacotes de entrega, bilhetes de trem, cartões de estacionamento e até no seu comprovante de vacinação. Mas um truque surpreendente está bagunçando a vida dos leitores desses códigos – e não, não é só criatividade de hacker enferrujado.
O truque: uma piada de nerd ou ameaça real?
Ultimamente, nossa rotina virou um verdadeiro safari em meio a códigos de barras e QR codes. Eles surgem para facilitar pagamentos, validar entradas e agilizar filas. Mas, como qualquer tecnologia que domina nosso cotidiano, também podem ser alvo de algumas pegadinhas – e, convenhamos, criatividade não falta.
O problema é que nem sempre os aparelhos que leem esses códigos filtram bem o que capturam. Isso abriu brechas para “espíritos zombeteiros” (será que aquele seu colega de TI se encaixa?) que resolveram codificar no QR code uma sequência muito peculiar: a cadeia EICAR. Talvez esse nome não diga nada para você, mas no mundo da informática, ela foi criada unicamente para testar o funcionamento dos antivírus.
Essa sequência, composta por 68 caracteres, é reconhecida prontamente pelos programas antivírus. Ao detectá-la, os softwares agem rapidamente: isolam o arquivo, reiniciam o processo ou até bloqueiam o sistema, dependendo das configurações de segurança do servidor. O engraçado – ou assustador – é que tradicionalmente essa cadeia EICAR só aparece em arquivos de teste nos computadores, mas nada impede de colocá-la em um QR code, não é mesmo?
DEF CON e o caos prático
Durante a conferência DEF CON 29, o hacker Richard Henderson mostrou o estrago que um simples QR code pode causar. Apresentou vídeos e imagens enviadas por amigos, demonstrando leitores travados após escanear um QR code “EICAR”. Em uma conhecida rede americana de supermercados, o leitor de códigos de barras simplesmente parou de funcionar. Um leitor de passaporte em aeroporto, então? Resultado: alerta vermelho gigantesco pipocando na tela. E não para por aí: numa saída de estacionamento, a cancela automática travou lindamente, deixando motoristas presos por pelo menos 20 minutos. Tudo isso porque o leitor se deparou com a string EICAR camuflada em QR code.
- Leitor de supermercado travado
- Leitor de passaporte em alerta
- Saída de estacionamento paralisada
O que explica o colapso?
Segundo Henderson, muitos leitores de barras são, na verdade, multifuncionais: também decifram QR codes e acabam enviando as informações capturadas diretamente para o banco de dados de um servidor, geralmente rodando Windows com antivírus instalado. Aí mora o perigo. Quando o sistema detecta a famosa cadeia EICAR, interpreta aquilo como uma ameaça real e entra em modo defesa: quarentena, bloqueio, reinício… O pesadelo de qualquer fluxo automatizado. Henderson comenta que os desenvolvedores desses sistemas jamais imaginariam que alguém usaria suas máquinas dessa forma. A audácia foi tanta que ele mesmo encomendou um pacote de adesivos com o QR code EICAR – só para ver até onde vai o espírito de trollagem digital!
E as possibilidades não param por aí. Segundo Henderson, esse truque também poderia ser tentado em leitores de preços nas lojas, scanners de bagagens em aeroportos ou leitores de placas de veículos. Mas, nesses casos, fica difícil saber se realmente ocorre uma pane, pois os responsáveis dificilmente abririam o jogo.
Punição e a fronteira do bom senso
Antes que alguma ideia muito criativa surja por aí, vale lembrar: provocar de propósito a pane em leitores de código de barras pode ser considerado crime. O artigo 323-1 do Código Penal prega cinco anos de prisão e multa de até 150.000 euros para quem sabotar sistemas automáticos de processamento de dados. Ou seja, transformar pequenas pegadinhas digitais em confusão real pode sair (muito) caro.
Por fim, se a tentação for incontrolável, existe um caminho (quase) inofensivo: dá para encontrar camisetas com o QR code EICAR estampado. Se alguma câmera de segurança decidir escanear, o problema é dela, não seu… Mas convenhamos, o ideal é usar esse conhecimento só para impressionar os amigos em conversas de bar, certo?
