... oder warum QR-Codes ungeeignet sind als Proof-of-Location
In einer zunehmend digitalisierten Welt werden Technologien zur Standortverifizierung immer wichtiger. QR-Codes sind ein beliebtes Mittel zur schnellen Übermittlung von Informationen und werden in vielen Bereichen des täglichen Lebens eingesetzt. Von Marketingkampagnen bis hin zur Authentifizierung scheinen QR-Codes eine einfache und effiziente Lösung zu sein. Doch trotz ihrer Vielseitigkeit und Beliebtheit haben QR-Codes auch ihre Schwächen, insbesondere wenn es um den Nachweis des Standorts geht. In diesem Blogbeitrag gehen wir der Frage nach, warum QR-Codes nicht für die Standortverifizierung geeignet sind. Dabei gehen wir auf Sicherheitsbedenken, technische Einschränkungen und alternative Technologien ein, die eine zuverlässigere Lösung bieten.
QR-Codes, auch Quick-Response-Codes genannt, sind zweidimensionale Barcodes, die es Nutzern ermöglichen, Informationen wie URLs, Kontaktdaten oder Texte mit einem einfachen Scan abzurufen. Seine Fähigkeit, eine Vielzahl von Datentypen zu speichern, und seine Benutzerfreundlichkeit machen es zu einer beliebten Wahl für eine Vielzahl von Anwendungen. Mit Hilfe von speziell trainierten KI-Modellen können auch QR-Codes erstellt werden, die auf den ersten Blick nicht so aussehen.
QR-Codes und Proof-of-Location
Auf den ersten Blick scheinen QR-Codes eine ideale Lösung für die Standortverifizierung zu sein. Benutzer könnten einfach einen QR-Code scannen, der an einem bestimmten Ort platziert ist, um ihre Anwesenheit an diesem Ort nachzuweisen. Dieses Konzept klingt verlockend, weil es einfach und kostengünstig umzusetzen ist. Bei genauerem Hinsehen zeigt sich jedoch, dass QR-Codes erhebliche Schwachstellen aufweisen, die sie für den Standortnachweis ungeeignet machen.
Sicherheitsrisiken und Schwachstellen
Anfälligkeit für Manipulationen: Einer der größten Nachteile von QR-Codes ist ihre Anfälligkeit für Manipulationen. Jeder kann ganz einfach einen QR-Code erstellen und ihn an einer beliebigen Stelle platzieren. Betrüger könnten gefälschte QR-Codes verwenden, um falsche Standortdaten zu generieren. Die Integrität und Authentizität von Standortinformationen ist daher nicht gewährleistet.
Phishing-Bedrohungen: QR-Codes können Benutzer unwissentlich auf bösartige Websites umleiten. Diese Bedrohung wird als QR-Phishing bezeichnet. Angreifer könnten QR-Codes an öffentlichen Orten platzieren, die Benutzer auf gefälschte Websites führen, um ihre persönlichen Daten zu stehlen oder Malware zu installieren. Dies stellt ein erhebliches Sicherheitsrisiko dar, insbesondere wenn die Standortverifizierung Teil sensibler Prozesse ist. Solche Angriffe gab es bereits auf mehreren Krypto-Konferenzen, an Parkuhren und in Bubbletea-Filialen. Der Begriff QRishing für QR Code Phishing ist bereits etabliert.
Fehlende Echtzeit-Verifizierung: QR-Codes bieten nicht die Möglichkeit, den Standort in Echtzeit zu verifizieren. Ein Benutzer könnte einen QR-Code scannen und dann zu einem anderen Ort reisen. Die Standortinformationen wären veraltet und möglicherweise ungenau. Eine zuverlässige Standortverifizierung sollte in der Lage sein, den aktuellen Standort eines Benutzers in Echtzeit zu erfassen und zu verifizieren.
Technologische Grenzen von QR-Codes
Fehlende Verschlüsselungsmöglichkeiten: QR-Codes speichern Daten in einem leicht lesbaren Format. Ohne zusätzliche Verschlüsselung können die gespeicherten Informationen während der Übertragung abgefangen und manipuliert werden. Für Anwendungen, die ein hohes Maß an Sicherheit erfordern, ist dies ein unhaltbares Risiko.
Begrenzte Datenkapazität: QR-Codes haben eine begrenzte Datenkapazität. Bei der Übertragung komplexer Standortdaten stoßen sie schnell an ihre Grenzen. Eine umfassende Standortverifizierung erfordert oft umfangreiche Datensätze, die detaillierte Informationen über Zeit, Ort und Benutzer enthalten.
Veröffentlichung: QR-Codes können nach Belieben fotografiert und vervielfältigt und veröffentlicht werden. Freiwillig und aus Versehen. Die Kopien sind nicht vom ursprünglichen QR-Code für die Anwendung und den zugehörigen Dienst zu unterscheiden. Das bedeutet, dass sie auch von Benutzern gelesen werden können, die sich nicht an der gleichen Stelle wie der ursprüngliche QR-Code befinden.
Was hat das alles mit Fußballtickets zu tun?
Bei der diesjährigen Ausgabe einer der renommiertesten Veranstaltungen für digitales Marketing veranstaltete einer der Aussteller, ein großes Softwareunternehmen für Unternehmenssoftware, an seinem Stand eine NFT-Jagd. Es war möglich, 9 verschiedene NFTs mit dem Scan von 9 versteckten QR-Codes zu sammeln.
Ein Mitarbeiter selbst hat ein Video dazu auf LinkedIn veröffentlicht. Interessanterweise ist einer dieser QR-Codes kurz in dem Video zu sehen – ich habe in meinem Kommentar bereits angedeutet, dass er tatsächlich nutzbar ist😉
Die URL, die im QR-Code im original Video codiert ist, endet in... /event/8 - während der Veranstaltung wurde sie von dort auf die Minting-Seite des Softwareunternehmens umgeleitet. Durch die Eingabe einer E-Mail und optional einer öffentlichen Wallet-Adresse könnte das NFT auf dieser geprägt werden. Jetzt war es sehr naheliegend, die "8" am Ende durch andere Ziffern zu ersetzen – et voilà, alle 9 NFTs waren in meinem Besitz, obwohl ich gar nicht bei der Veranstaltung dabei war.
Die NFTs dienten als Zugang zu einer Verlosung mehrerer Sachpreise, und ich war tatsächlich einer der Gewinner – kein Wunder, schließlich hatte ich alle 9 "Lotteriescheine". In meinem Briefkasten landete ein Gutschein für 2 Heimtickets für ein Heimspiel von Mainz 05. Vielen Dank!
Bessere Alternativen für den Proof-of-Location
Angesichts der Sicherheitsbedenken und technologischen Einschränkungen von QR-Codes sind andere Technologien besser geeignet, um den Standortnachweis zu gewährleisten:
Serialisierte, validierbare Marker: Werden anstelle des QR-Codes eindeutige Marker verwendet, die nicht kopiert werden können, können diese weder für das QRishing missbraucht, noch fotografiert und veröffentlicht werden.
GPS-basierte Systeme: Die GPS-Technologie ist weit verbreitet und bietet eine genaue Standortüberprüfung. Geräte mit GPS-Empfängern können den Standort eines Benutzers in Echtzeit aufzeichnen und an das Verifizierungssystem übertragen. Diese Methode ist sicherer und zuverlässiger als QR-Codes.
Beacons und NFC: Beacons und NFC (Near Field Communication) sind Technologien, die auf kurze Distanzen arbeiten und genaue Standortinformationen liefern können. Diese Technologien sind schwieriger zu manipulieren und bieten mehr Sicherheit bei der Standortverifizierung. Sie können jedoch berührungslos aus der Ferne zerstört werden und erfordern von den Anwendern ein höheres Maß an Know-how, für die ein NFC-Scan in der Regel schwieriger ist als ein optischer Scan.
Blockchain-Technologie: Die Blockchain-Technologie bietet eine dezentrale und unveränderliche Möglichkeit, Standortdaten zu verifizieren. Die Transaktionen werden in einem öffentlichen oder privaten Hauptbuch aufgezeichnet, das von allen Teilnehmern des Netzwerks überprüft werden kann. Dies bietet ein hohes Maß an Sicherheit und Transparenz bei der Standortverifizierung.
Technologie Beispiele
Meta Anchor: Der holografische Fingerabdruck von Authentic Vision kombiniert die Alternativen 1 und 2. Der Standort des Etiketts, die Position des Smartphones und der Zeitstempel des Validierungsservers werden zum Ergebnis des Scanergebnisses addiert. Optional kann auch die Alternative 4 verwendet werden. Darüber hinaus kann mit einem eigens erstellten Smart Contract mit einem "Asset Bound NFT" die gesamte Liste und insbesondere der letzte Besucher eines Standorts dezentral und überprüfbar ermittelt werden. Die Meta Anchors bieten den besonderen Vorteil, dass sie mittels einer mobilen App auf jedem Smartphone mit Kamera, Licht und Internetverbindung validiert werden können.
Dynamic Elements: Unter Verwendung von Makrobildern, die die Oberflächenstruktur berücksichtigen und einer dezentralen Registrierung von Referenzmustern und Validierungen, werden die Alternativen 1 und 4 in den Lösungen von Dynamic Elements kombiniert. Auf die Verwendung von QR-Codes kann komplett verzichtet werden, oder sie werden zu sicheren SQR-Codes aufgewertet. Für die Validierung sind leistungsfähige Makrooptiken erforderlich, die in den aktuellen Generationen der beliebtesten Smartphone-Anbieter verbaut sind.
Tokiphy: Die NFC-Chips und Reader von Tokiphy. Dadurch ist es möglich, komplett Web3-integrierte Lösungen zu konzipieren, deren Nutzer mit einer Chipkarte Zugriff auf ihre Funktionen haben, ohne sich mit der Technologie auseinandersetzen zu müssen. Indem eine separate Partition mit gewöhnlichen, NFC-fähigen Smartphones lesbar gemacht wird, können die Chips auch für einen breiten Proof-of-Location-Anwendungsfall verwendet werden.
Wenn Sie sich für die Technologien interessieren, senden Sie mir einfach eine Nachricht und wir vereinbaren einen Beratungstermin oder ich stelle gerne den direkten Kontakt zum jeweiligen Hersteller her.
Fazit
QR-Codes haben zweifellos ihren Einsatz in verschiedenen Kontexten, aber sie sind für den Standortnachweis weitgehend ungeeignet. Die Sicherheitsrisiken, die Anfälligkeit für Manipulationen und die technologischen Einschränkungen machen sie zu einer nicht optimalen Wahl. Unternehmen, die eine zuverlässige und sichere Standortverifizierung benötigen, sollten alternative Technologien wie validierbare Marker, GPS, Beacons/NFC oder Blockchain in Betracht ziehen. Durch den Einsatz dieser fortschrittlichen Technologien können Unternehmen die Integrität und Authentizität ihrer Standortdaten sicherstellen und sowohl ihre Systeme vor potenziellen Bedrohungen als auch ihre Benutzer vor QRishing schützen.
Disclaimer
Ich möchte die Organisatoren des Wettbewerbs nicht blamen und deshalb ihre Namen nicht nennen; Ich schätze das Team und seine Entwicklungen eigentlich sehr. Ziel der Aktion in dieser Phase war es, die Technologie bekannt zu machen, zu verbreiten und zu testen, um NFTs zu Marketingzwecken einfach in bestehende Systeme zu integrieren und zu nutzen. Das hat sehr gut funktioniert – und ich denke, der Ansatz, Kunden ohne Wallets die Möglichkeit zu bieten, diese zu nutzen, ist effektiv für eine größere und schnellere Akzeptanz der Technologie in der breiten Öffentlichkeit. Prinzipiell ist es sogar von Vorteil, den Service so breit wie möglich zu nutzen. Das Team war und ist sich der Schwachstelle in der Übertragbarkeit von QR-Codes durchaus bewusst und dies wurde während der Kampagne anerkennend aufgenommen.
Die Tickets wollte ich natürlich nicht einlösen – schließlich war ich gar nicht auf der Veranstaltung und somit auch nicht in die Zielgruppe der Veranstalter. Ich habe sie über den Aussteller, mit freundlicher Unterstützung von Mainz 05, an bedürftige Kinder weitergeben lassen.
Kontakt
Jetzt technischen Vorsprung sichern
Nutzen Sie das umfangreiche Web3-Angebot für Ihr Anliegen, unterstützt durch langjährige Expertise.