5. Mai 2022
StartAktuellAndroid 12 - Google Kamera verfälscht Links bei QR-Codes

Android 12 – Google Kamera verfälscht Links bei QR-Codes

Um weitere Informationen von Produkten zu erhalten, findet sich oftmals ein QR-Code auf der Verpackung oder einem Prospekt. Das Scannen des Codes kann entweder mit einem QR-Code Scanner als Drittanbieter-App oder direkt über die Google Kamera-App erfolgen. Hier gibt es aber ein Problem, welches jetzt erst bekannt wurde.

Update 24.01.2022: Auch OnePlus Geräte mit Android 11 waren/sind betroffen

Laut einem weiteren Bericht von Heise.de waren neben Pixel Phones mit Android 12 auch OnePlus 6 und Pixel Phones mit Android 11 (Fehler 2 und 3) betroffen. Ein weiterer Fehler erfolgt bei der Nutzung von Google Lens und dem Einscannen von Kalenderdaten per QR-Code. Aus den Codes entnommene Informationen werden an einem falschen Datum im Kalender eingetragen.

Das Datum eines Termins wird immer um einen Monat nach hinten verschoben, wenn der Termin aus einem QR-Code mit der Kamera-App von betroffenen Pixel- und OnePlus-Phones ausgelesen wird. Ist der Tag im Folgemonat nicht vorhanden, schiebt Google den Eintrag um 31 Tage weiter (zum Beispiel Termin am 31.1.2022 -> Verschiebung auf den 3.3.2022).

Zusätzlich zum falschen Tag werden auch noch die Zeitzonenangaben ignoriert. Die Internet-Kalender-Spezifikation RFC 5545 legt fest, dass der Buchstabe Z nach einer Uhrzeit (230000Z) bedeutet, dass die Angabe in Weltzeit ist. Die Google KI ignoriert das Z und nutzt die Lokalzeit des Gerätes. Die falsche Interpretation der Uhrzeit ist bis Freitagabend mit der Kamera-App und Lens bei allen Smartphones aufgetreten.

Auch durch das Update auf Version 8.4.400 der Kamera-App sowie einem Update auf Lens lässt sich der Kalenderfehler nicht beheben. Somit scheint hier der Google Kalender der Schuldige zu sein.

Sämtliche Probleme beim Auslesen der Codes sind Google jedoch nicht gerade erst bekannt geworden, sondern schon seit Juni 2021. Damals meldete der kanadische Sicherheitsberater Louis Dion-Marcil das Problem an Google. Er hatte es auf einem Pixel 4 und 5 mit Android 11 entdeckt. Google war das Problem jedoch „nicht wichtig“ genug.

  • Won’t Fix (Intended Behavior) – Wird nicht behoben (Beabsichtigtes Verhalten)

UPDATE 22.01.22: Google ist sich des Problems bewusst und arbeitet an einem Fix.

Nur 2 Tage nach Bekanntwerden des Problems hat Google ein Update der Google Kamera auf Version 8.4.400 verteilt und damit die Schwachstelle behoben. Die Google Kamera liest den QR-Code nun wieder exakt aus.

Google Kamera-App zeigt falsche Links bei QR-Codes an

Bei Heise wird berichtet, dass die Google Kamera-App drei Fehlerquellen beim Scannen von QR-Codes aufweist. Schuld an dem Fehler beim Scannen ist Android 12 sowie die künstliche Intelligenz von Google.

Um einen QR-Code mit der Google Kamera-App auszulesen, musst du in den Einstellungen der Kamera die Option „Google Lens-Vorschläge“ aktivieren. Anschließend ist es möglich, mit deiner geöffneten Kamera QR-Codes zu scannen. Jedoch verändern Algorithmen der App beim Auslesen der Codes die darin enthaltenen Links in ähnlich aussehende Links, welche aber, durch die Änderung, auf eine falsche Webadresse führen (können). Mit Glück erhältst du als Nutzer nur eine Fehlermeldung, da die Webadresse verkehrt ausgewiesen wurde. Hast du aber Pech könntest du auch bei einem Angreifer landen….

Laut Heise drängt sich als Grund für den Fehler ein Zusammenhang mit den URL-Kürzungen im Chrome-Browser auf. Möglicherweise erfolgen die Fehler auch durch „Verbesserungen von vermeintlichen Tippfehlern“ durch den Algorithmus der Kamera.

Das Problem konnte mit Pixel Phones (3XL bis 6 Pro) dokumentiert werden. Aber nur, wenn die Geräte auf Android 12 liefen. Ein Pixel 3a mit Android 11 hatte den Fehler nicht, erst nach dem Update auf Android 12. Geräte anderer Hersteller sind nicht betroffen. Ebenso scheint das Problem nur bei http(s)-Protokollen aufzutreten.

Fehler 1:

Fehler 1 betrifft länderspezifische Top-Level-Domains (ccTLD). Endet das Second Level einer Domain mit einer bestimmten Zeichenfolge, fügt die Google-Kamera-App automatisch einen Punkt ein. Der Link verwandelt sich zum Beispiel von https://fooco.at in https://foo.co.at. Zusätzlich betroffen sind die Länderzonen .au, .br, .il, .kr, .nz, .ru, .tr, .uk und .za. Betroffene Zeichenfolgen am Ende der Second Level sind co, com, ac, net, org, gov, mil, muni und edu. or, gv und k12 sind nicht betroffen.

  • Ein hypothetischer Link https://foonet.uk/verysecure, kodiert in einem QR-Code, würde den User zum Öffnen der Seite https://foo.net.uk/verysecure verleiten. Gehört die Domain einem Dritten, könnte dort Malware lauern, Falschinformation verbreitet werden oder ein Phisher auf Eingabe echter Zugangsdaten für foonet.uk-Konten hoffen. (Quelle: Heise)
  • Gefeit wirken http(s)-Links, die internationale Domainnamen (IDN) mit entsprechenden Unicode-Sonderzeichen enthalten – wir haben aber nicht alle Varianten durchprobiert. Ziffern im Domainnamen bieten hingegen keinen Schutz. (Quelle: Heise)
(Bildquelle: Heise)

Fehler 2:

Der zweite Fehler betrifft http(s)-Links mit bestimmten Top-Level-Domains, welche länger als zwei Zeichen sind. Die KI der Google Kamera-App lässt hier eines oder mehrere Zeichen einfach weg. So verweist die Webseite der katalanischen Unabhängigkeitsabstimmung https://referendum.cat beim Scannen über die Kamera-App auf https://referendumg.ca. Statt Katalanien landet man in Kanada.

Dieser Fehler kann in zahlreichen .cat-Domains nachgewiesen werden. Ebenfalls wird .int (für internationale Organisationen) zu .in (Indien), .pro zu .pr (Puerto Rico), oder .travel zur .tr. Ein Verweis auf .apple leitet die Kamera-App auf .app um. Statt .amex landest du in .am (Armenien). Bei der Suche nach .bet oder .beer gibt es eventuell .be (Belgien).

Bei Fehler 2 sind auch IDN-Domainnamen (internationale Domainnamen) betroffen, welche bei Fehler 1 außen vor blieben.

(Bildquelle: Heise)

Fehler 3:

Der Sicherheitsforscher Adrian Dabrowski, welcher Heise unterstützte, entdeckte einen weiteren Fehler. Die Kamera-App stellt bei der Auflösung eines http(s)-Links in einem QR-Code einen Punkt vor eine Ziffer, welche nach der Zeichenfolge www steht.

Als Beispiel: Die Royal Bank of Canada nutzt folgende Adresse https://www6.rbc.com. Nachdem die Kamera-App diese aus dem QR-Code ausgelesen hat, wird daraus https://www.6.rbc.com. Es kommt zu einem 404 Fehler. Eine weitere Adresse ist https://www1.nyc.gov, die offizielle Webseite der Stadt New York. Diese wird von der Kamera-App zu https://www.1.nyc.gov.

Die Fälle bei www+Ziffer sind jedoch relativ selten. Fehler 3 kann jedoch gekoppelt mit Fehler 1 oder 2 auftauchen.

  • Im Interface der Camera-App ist nicht viel Platz für die Anzeige der URL“, stellte Dabrowski fest, „Daher ist es nachvollziehbar, dass die Einblendung dort auf ein Minimum getrimmt wird. Allerdings darf das keine irreleitenden Fehler hineintragen – und schon gar nicht verkürzte Adressen an den Browser übergeben, wie das jetzt passiert.“ Alle beschriebenen Fehler traten übrigens auch dann auf, wenn auf dem Pixel-Handy ein anderer Browser als Chrome als Standardanwendung eingestellt war – am Browser liegt es also nicht. (Quelle Heise)
20220121 Kamera QR 1
(Bildquelle: Heise)

Fazit

Der Fehler beim Auslesen von QR-Codes tritt immer nur dann auf, wenn du einen Code über deine Google Kamera ausliest. Beim Scannen über Google Lens ist der Fehler nicht vorhanden. Somit scheint es bisher als Fehlerbehebung nur die Möglichkeit zu geben, die Google Lens-Vorschläge in den Einstellungen der Google Kamera-App auszuschalten. Das Scannen sollte direkt über Google Lens oder eine Drittanbieter-App (z.B. Barcode Scanner von ZXing) erfolgen. Hier muss jedoch auch von Apps abgeraten werden, welche die erkannten Links ohne Bestätigung direkt öffnen, ohne sie vorher anzuzeigen.

2 Kommentare

  1. Pixel 6 Pro:
    Weder Lens, noch die original Kamera oder eine gemoddete GCAM zeigen eine falsche Webseite. heisenet.at wird korrekt angezeigt.

    • Das Problem des falschen Auslesens bestand nur bei der Nutzung der Google Kamera (Original). Google hat kurz nach dem Bekanntwerden des Problems ein Update der Kamera-App auf Version 8.4.400 bereitgestellt und es damit behoben.

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein

EMPFEHLUNGEN DER REDAKTION

MAGAZIN

APPS & SPIELE