Google: Rusland misbruikt QR-codes om toegang te krijgen tot chataccounts

Hackers die gelieerd zijn aan de Russische staat hebben QR-codes misbruikt om toegang te krijgen tot Signal-accounts, zo heeft Google geconstateerd. Die QR-codes zijn in gebruik om apparaten te linken aan het account. De methode werkt ook bij WhatsApp en Telegram.

De functie maakt het mogelijk om chatapps op de desktop te gebruiken. Door malafide QR-codes aan te maken, verschaffen de hackers zichzelf toegang tot accounts, meldt Google. Daarbij gaat het om phishingsites die zich voordoen als de site van bijvoorbeeld Signal om een apparaat te linken aan het account of om lid te worden van een groep.

De actie lijkt gericht tegen nu nog voornamelijk Oekraïners die betrokken zijn bij de oorlog die Rusland begon, maar Google verwacht dat Rusland en Belarus na succesvolle pogingen in Oekraïne de methode ook elders gaan inzetten. De Google Threat Intelligence Group heeft Signal ingelicht en het bedrijf heeft de app voor iOS en Android voorzien van een update om gebruikers beter te beschermen tegen deze aanvallen.

Aanval via QR-codes Signal Aanval via QR-codes Signal Signal QR-codes

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 19-02-2025 21:15
47 • submitter: Anonymoussaurus

19-02-2025 • 21:15

47

Submitter: Anonymoussaurus

Lees meer

Websites Nederlandse provincies en gemeentes onbereikbaar door cyberaanval
Websites Nederlandse provincies en gemeentes onbereikbaar door cyberaanval Nieuws van 28 april 2025
Telegram heeft ruim 1 miljard actieve gebruikers, 50 miljoen meer dan in juli
Telegram heeft ruim 1 miljard actieve gebruikers, 50 miljoen meer dan in juli Nieuws van 19 maart 2025
Hackersgroep Dark Storm Team eist grootschalige cyberaanval X op
Hackersgroep Dark Storm Team eist grootschalige cyberaanval X op Nieuws van 11 maart 2025
Signal dreigt met vertrek uit Zweden als nieuwe wet backdoor verplicht
Signal dreigt met vertrek uit Zweden als nieuwe wet backdoor verplicht Nieuws van 25 februari 2025
X blokkeert links naar Signal.me
X blokkeert links naar Signal.me Nieuws van 17 februari 2025
Signal laat gebruikers chatgeschiedenis overzetten bij linken van nieuw apparaat
Signal laat gebruikers chatgeschiedenis overzetten bij linken van nieuw apparaat Nieuws van 30 januari 2025
Meer producten en artikelen
Smartphones Google Beveiliging Phishing Rusland Signal

Reacties (47)

-Moderatie-faq
47
47
21
3
0
23
Wijzig sortering
Teun! 20 februari 2025 08:15
Enigszins offtopic: Blijft toch bijzonder dat we mensen leren om niet op links te klikken omdat het gevaarlijk kan zijn (terecht overigens!) en we vervolgens mensen hebben aangeleerd om QR codes te scannen (wat natuurlijk gewoon voor het blote oog obfuscated links zijn). Ik doe dit persoonlijk dan ook zo min mogelijk, laat staan dat het random QR codes zijn die je op straat en dergelijke tegenkomt. Eigenlijk gebruik ik het alleen voor betaling die ik zelf aanvraag (als ik iets online bestel dus).
hoeksmarp @Teun!20 februari 2025 08:59
De apps die ik gebruik laten eerst de link zien waarna je kunt kiezen om op die link te klikken.
Kazu @hoeksmarp20 februari 2025 09:54
Oprechte vraag: werkt dat in de praktijk? Want volgens mij bevatten QR-codes vaak verkorte links d.m.v. URL shorteners om de resulterende QR-code zo simpel mogelijk te houden. Dus heb je er dan wat aan als je een bit.ly URL ziet?
hoeksmarp @Kazu20 februari 2025 12:00
Werkt op dezelfde manier als een link, als die verkort is met bit.ly zie je ook niet waar je uitkomt.
Ghoelian @Kazu20 februari 2025 12:07
Ik gebruik hier zelf URLCheck voor. Die stel je in als je standaardbrowser, dan krijg je eerst alle links te zien voordat die in je browser openen.

Je kunt hier een hoop modules aan toevoegen, waaronder een link "unshortener".

Heb hier persoonlijk bijvoorbeeld ook regex replacements in die x.com doorsturen naar xcancel en dat soort dingen. Super handig.
Die_ene_gast @Teun!20 februari 2025 09:02
Blijft toch bijzonder dat we mensen leren om niet op links te klikken omdat het gevaarlijk kan zijn
Het wordt pas gevaarlijk als je je data oid op die pagina's knalt. Een willekeurige site openen zou 0 gevaar moeten opleveren. Het is gevaarlijker om zonde ad blocker het net op te gaan.
Teun! @Die_ene_gast21 februari 2025 08:27
Volgens mij bestaan er zeker zero-click exploits, dit zou mijn inziens genoeg reden moeten zijn om dit risico niet te (willen) nemen. Hopelijk zijn deze maar beperkt beschikbaar en niet voor ons "lowly plebs" maar hele specifieke aanvallen. Toch zijn ze in het verleden wel gebruikt om massa aanvallen te plegen, dacht ik, maar dit kan ik niet met zekerheid stellen.
Die_ene_gast @Teun!24 februari 2025 08:31
Zulke exploits wil je bewaren voor als je state actors aanvalt lijkt mij.
mraix @Die_ene_gast26 februari 2025 22:15
uhhhhh
daarmee zou je malware in je browser kunnen installeren zonder het te weten....

welkom bij het zombie leger van <.... not your friend.... >
Lucb1e @Teun!20 februari 2025 09:18
Dat laatste maakt het niet per se veilig, immers kan de webshop je doorsturen naar een kwaadaardig domein die wel identiek uitziet aan de echte website, die dan eventueel ook zo'n code kunnen maken voor een andere betaling

De oplossing voor betalingen is om te controleren wat er op de authenticator staat (random reader, telefoon-app, SMS, whatever), die geeft namelijk aan welke betaling het is dat je autoriseert. Zelf kijk ik onder de ~40 euro niet zo nauw naar de verdere details, zolang het bedrag op het schermpje maar ongeveer overeenkomt en ik niet opeens 400 euro overmaak, maar ik heb me wel de gewoonte aangeleerd om er steevast naar te kijken en niet blind op OK te drukken als ik een transactie verwacht. (Hopelijk pas ik de gewoonte dan ook toe in een stress-situatie wanneer ik de oudere ben die gedupeerd wordt met een of andere scammer aan de lijn)

Wat betreft obfuscated QR-codes: helemaal eens, het is al bijna onmogelijk om voor een link te zeggen of die te vertrouwen is (je moet het domein al kennen en zelf intypen, of geen homoglyphs erin hebben, en het vertrouwde domein moet geen open redirect hebben dat door bijv. Google lang überhaupt niet als kwetsbaarheid gezien werden en dus niet werd opgelost), laat staan als je de link niet eens kan zien voordat je klikt zoals bij veel QR-scanners het geval is. Vaak staat de link er wel nog onder en kun je een (meestal ook tracking-vrije) versie zelf intypen, maar dat wordt steeds minder omdat iedereen nu een scanner heeft ingebouwd in de telefoon en die veelal weet te gebruiken, dus een fallback is minder nodig voor functionaliteit (en who cares about veiligheid of tracking?)

Met een scanner zoals die ik gebruik zie je wel altijd de link van te voren en kun je die kopiëren (om aan te passen), delen, of direct openen als je wilt. Vind dat zelf prettiger. Zo ook overigens met e-mail, FairEmail van Marcel Bokhorst laat ook (by default) een pop-up zien met de link en wat opties als je op een link in een e-mail klikt. De tekst hoeft immers niet met de link overeen te komen. Anyway, tot zover mijn protips van de dag, deze reactie is al te lang xD

[Reactie gewijzigd door Lucb1e op 20 februari 2025 09:21]

Teun! @Lucb1e21 februari 2025 08:33
Mbt betalingen heb je zeker een punt, ik gebruik hiervoor de scanner van mijn bank app, deze kan volgens mij sowieso niet andere links openen dan voor betalingsverkeer, maar ik heb dit nooit geprobeerd. Zoveel dingen koop ik niet online en ik kijk altijd in elk geval of het bedrag klopt.
Bedankt voor de tips!

Andere QR codes scan ik niet, ik vraag om een website of ik sla het gewoon over (moet zeggen dat ik volgens mij ook wel eens Totp qr codes scan, als er geen optie is om de key zelf te copy pasten, dit doe ik dan via de totp app zelf, Aegis).
Die_ene_gast 20 februari 2025 09:05
Mooi, clickbait titeltje om signal minder populair te maken. Terwijl het voor telegram / whatsapp net zo goed geldt. Het is gewoon een phishing poging......

Wat is het volgende artikel? Nigeriaanse prinsen proberen via thunderbird mensen op te lichten?
lalilaloe 19 februari 2025 22:41
Bij Telegram verlopen de (device) qr codes elke x aantal seconden. Een screenshot ervan maken en gebruiken werkt dan niet kwam ik laatst achter.
Privacyfreak @lalilaloe20 februari 2025 06:23
Telegram wordt ook genoemd in het bronartikel dus waarschijnlijk net zo kwetsbaar. Overigens gaat het niet om de QR codes van Signal zelf maar namaak QR codes

Ik zou telegram trouwens sowieso niet gebruiken voor privégesprekken vanwege niet standaard e2e encrypted. Groepen al helemaal niet. Maar ieder z'n ding :)
lalilaloe @Privacyfreak20 februari 2025 21:20
Ligt er net aan wat je nodig hebt, Signal is basic maar standaard veilig. Telegram bied veel meer features.
Muncher 19 februari 2025 21:37
In hoeverre verschilt dit van bijv. een soortgelijke aanval op Whatsapp? Daar kan je met een QR code ook een device linken.
William_H @Muncher19 februari 2025 21:52
In principe precies hetzelfde. Daar zou je hetzelfde trucje kunnen toepassen.
flaskk @William_H19 februari 2025 22:21
Alleen dat signal lokaal op je telefoon staat, en ik weet niet precies of de history kan zien.
StefvE @flaskk20 februari 2025 00:48
Een nieuw device krijgt nooit de history te zien, die wordt op dat moment pas 'aangemaakt'.
Splorky @StefvE20 februari 2025 01:05
Toevallig van de week signal geïnstalleerd op Windows, ik kreeg de vraag of ik 45(?) dagen aan geschiedenis op de computer wou hebben van de chats
pbk @Splorky20 februari 2025 06:53
Het vreemde is dat ik recent de desktop app had geïnstalleerd en inderdaad die vraag kreeg (handig!).
Paar dagen terug op een andere laptop de cliënt geïnstalleerd en toen kwam de vraag niet. Zelfs de cliënt nog een keer verwijderd om te zien of ik het gemist had, maar het zat er echt niet in.
guillaume @StefvE20 februari 2025 01:45
nieuws: Signal laat gebruikers chatgeschiedenis overzetten bij linken van nie...
Privacyfreak @Muncher20 februari 2025 06:18
Niet, in het Google artikel worden WhatsApp en Telegram ook vermeld. Dat had in het artikel hier ook wel gemogen
TweakerCarlo @Muncher19 februari 2025 22:51
Dat kan je ook zien aan de hoeveelheid pixels in die qrcode.
Meer info geeft meer pixels.
Meer pixels staat gelijk aan niet klikken.
Of het er zit een "bit.ly" systeem achter. Dan valt het minder op.
Dan hebben ze iig betaald

Scan elke code?
Webgnome @TweakerCarlo20 februari 2025 07:28
En hoe ziet een gemiddelde gebruiker het verschil tussen meer of minder pixels?
Lucb1e @TweakerCarlo20 februari 2025 08:37
Als de beheerder van een drie-letterige domeinnaam (plus twee tekens van het TLD) die ik gebruik als tijdelijke link shortener zodat de links zelf ook maar 1 à 2 tekens zijn, kan ik zeggen dat de lengte van de link weinig zegt over de legitimiteit

Wellicht kun je wel vragen stellen wanneer de QR-grootte opeens anders is dan normaal, maar de softwaremakers kunnen het ook wijzigen. De aanvallers kunnen in dit geval waarschijnlijk gewoon best de originele QR scannen, zien wat erin zit, en die opnieuw maken zodat ze het origineel matchen

De grootste vraag is simpelweg: van wie komt deze code, vertrouw ik die partij (bijv. ben ik het zelf, als ik een apparaat wil koppelen)? En als ik de maker niet ken, wat vul ik dan op deze website, of wat het ook is, in?
Dan hebben ze iig betaald
Huh? Wie heeft voor wat betaald, een gratis link shortener?

[Reactie gewijzigd door Lucb1e op 20 februari 2025 08:52]

Solopher 19 februari 2025 21:28
Toevallig vandaag nog met een ander device gelinkt (telefoon <> laptop), ik kreeg na een paar minuten nog een notificatie op mijn (telefoon), dat er een nieuw device gelinkt was. Altijd goed om bij dat soort meldingen even te controleren/stil te staan of je het zelf wel was.
jcbvm @Solopher20 februari 2025 08:06
In zo’n geval als dit was je het ook zelf indirect, je was immers op de phishing site of app.
Halfscherp 19 februari 2025 22:06
De titel zou wel ietsje minder clickbait / sensationeel mogen. Het klinkt nu alsof ze door een fout in Signal's code zelf QR-codes kunnen genereren en daarmee inloggen.

Iets in de trant van: "Rusland phisht Signal accounts met QR-codes".
Privacyfreak @Halfscherp20 februari 2025 06:37
Idd, inclusief de eerste alinea. Het lijkt nu net of het aan de QR codes van Signal ligt terwijl het om malafide namaak codes gaat. In het bronartikel wordt ook gewaarschuwd voor zelfde methodes bij WhatsApp en Telegram wat er ook wel bij gemogen had. Hebben die het al opgelost?

Overigens staat de nuance in de tweede alinea wel goed, maar eens, iets minder clickbait had gekund
hoeksmarp @Privacyfreak20 februari 2025 09:03
De titel van het Google Threat Intelligence Group artikel is wel
Signals of Trouble: Multiple Russia-Aligned Threat Actors Actively Targeting Signal Messenger
In het artikel is niet duidelijk waarom onderscheid tussen Signal en WhatsApp en Telegram wordt gemaakt (terwijl die ook worden genoemd als "actively targeted").
Privacyfreak @hoeksmarp20 februari 2025 09:13
Ja ik vond het Google artikel ook wat onduidelijk. Ik denk dat ze de methode eerst bij Signal hebben ontdekt en vervolgens wilden waarschuwen als "hey als het bij Signal kan, kan dit bij WhatsApp en Telegram ook". Maar omdat Google verwijst naar updates van Signal en niet bij WhatsApp/Telegram vraag ik me af of die apps nu juist risicovoller / nog blootgesteld zijn. Dan had een duidelijkere waarschuwing in het google artikel niet misstaan
jip_86 19 februari 2025 21:34
Hmm toevallig gerelateerd aan de X blokkade? Lijkt inmiddels weer te kunnen.
Toet3r 19 februari 2025 22:18
Helpt het om registratievergrendeling aan te zetten onder instellingen -> account om dit te voorkomen?
Cyb @Toet3r19 februari 2025 22:35
Denk het niet, want het gaat in dit phishing misbruik niet om herregistratie van hetzelfde telefoonnummer, maar om de linked device feature.
Toet3r @Cyb20 februari 2025 00:34
Bedankt :)
Privacyfreak @Toet3r20 februari 2025 06:29
Signal heeft het al opgelost volgens het google bronartikel. Staat alleen niet bij hoe maar tegenwoordig moet je voordat je apparaat koppelt eerst je telefoonvergrendeling invoeren. Ook krijg je tegenwoordig in signal een melding als er een nieuw apparaat is toegevoegd.

Stond volgens mij op wired gisteren, al weet ik niet zeker of dat de oplossing voor de namaak QR codes was of gewoon extra beveiliging

[Reactie gewijzigd door Privacyfreak op 20 februari 2025 06:31]

SVMartin 20 februari 2025 06:00
Wat was nu precies de oplossing?

Ik vermoed dat de app elke qr code scande, maar er nu een check is ingebouwd waarmee zeker gesteld kan worden dat er een qr code wordt gescand die van signal zelf afkomstig is.

Als je in een mobiele app zeker wilt weten dat er verbonden wordt met de juiste website dan kun je het ssl certificaat checken. Dat heet certificate pinning.

Kan zoiets ook in een qr code?
Lucb1e @SVMartin20 februari 2025 09:00
Een "TLS-certificaat" (X509-formaat) is niks magisch, er zit wat metadata en een public key in. Zo ook een QR-code, het is een verzameling bytes waar je in kan stoppen wat je wilt.

Je kan een QR-code best met het privédeel van die sleutel ondertekenen zodat anderen de data die erin zit kunnen verifiëren aan de hand van de publieke sleutel uit dat certificaat. Signal zou bijvoorbeeld hun server de QR kunnen laten maken, zodat zij het kunnen authenticeren en er zo'n stempel op kunnen plakken van "we hebben gecontroleerd dat de eigenaar van het account deze QR heeft aangemaakt en niet iemand anders"

Dit maakt QR's wel veel groter, die handtekeningen zijn langer dan de paar bytes die je nodig hebt om de telefoon te vertellen welk apparaat je wilt toevoegen. Het moet echter wel kunnen als je niet al tegen het limiet van praktisch scanbare QR's aan zat

Of dit is wat ze doen, weet ik niet; ik heb de commits dit keer niet nagezocht. Wilde enkel de vraag beantwoorden of certificaten met QR-codes kunnen werken :)

[Reactie gewijzigd door Lucb1e op 20 februari 2025 09:02]

m-a-r-t-1 20 februari 2025 07:44
Is dit een artikel om Signal zwart te maken? Dit geldt ook voor WhatsApp. Zou het niet gepaster zijn om dit in de artikelkop te melden? Het is nu net of het alleen om Signal gaat. @iedereen hier, stap over op een niet Amerikaans tech platform en dump daarnaast zoveel mogelijk Amerikaanse hard en software.
sircampalot @m-a-r-t-120 februari 2025 07:53
stap over op een niet Amerikaans tech platform
Telegram bijvoorbeeld :+
m-a-r-t-1 @sircampalot20 februari 2025 08:16
Beetje off topic. Maar op het moment is alles beter dan iets dat uit de VS komt. Economische pijn is de enige pijn die de VS iets doet. Als iedere EU inwoner voor zover mogelijk alles uitfaseert dat Amerikaans is kan het hard gaan met de lobby tegen het huidige Amerikaanse regime. Maar dan moet wel iedereen dit doen. Vraag bijvoorbeeld vrienden en familie om over te stappen op niet Amerikaanse alternatieven, het liefst Europese alternatieven. Stap over op Linux Mint en Libre Office. Koop hierna een telefoon met Jolla Sailfish. Koop zelfs geen tweede hands Tesla of Ford. Stap af van ieder Amerikaans social media platform Enz, enz.
sircampalot @m-a-r-t-120 februari 2025 09:24
De afhankelijkheid van de VS had sinds het loskoppelen van de dollar-goud standaard afgebouwd moeten worden.
m-a-r-t-1 @sircampalot20 februari 2025 09:26
Beter laat dan nooit zullen we maar zeggen :+

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq