Google Fotocamera gestisce in modo piuttosto inusuale i QR code sui dispositivi con Android 12: il tentativo di correzione automatica degli URL ritenuti errati, anziché porre rimedio a problemi esistenti, ne crea di ulteriori e potenzialmente più gravi sul piano della sicurezza.
I QR code sono sempre più parte della nostra vita di tutti i giorni e portano con sé una componente di rischio derivante dal non poter sapere ad una prima occhiata a quale sito web si verrà reindirizzati. In genere, per la verità, questo rischio è eliminato dalle app che si occupano della scansione dei QR code, le quali mostrano all’utente l’URL “nascosto” prima di aprirlo.
Ebbene, la pubblicazione tedesca Heise ha messo in evidenza lo strano comportamento della Google Fotocamera, che, nel tentativo di correggere automaticamente indirizzi errati, crea più problemi (e rischi) di quanti ne risolva.
Google Fotocamera e i QR code: 3 problemi
Gli errori causati da questo bizzarro e non richiesto modus operandi della Google Fotocamera conduce a tre tipologie di errori.
Il primo di questi fa riferimento ad alcuni country-code top level domains (ccTLD) e non fa differenza se il QR code rimandi ad un dominio errato — come potrebbe essere il non esistente dominio austriaco https://fooco.at — o se crei un collegamento verso ulteriori directory (i.e. https://fooco.at/bar/index.htm). È sufficiente che il dominio di secondo livello, nel caso dell’esempio fooco, termini con determinate stringhe perché la Google Fotocamera provveda ad inserire in maniera del tutto automatica un punto, finendo così, ad esempio, per trasformare “https://fooco.at” in “https://foo.co.at“. Heise ha condotto ulteriori test con altre combinazioni e rilevato l’esistenza di errori anche con .au, .br, .hu, .il, .kr, .nz, .ru, .tr, .uk e .za. Tra le stringhe conclusive di domini di secondo livello toccate dal problema figurano co, com, ac, net, org, gov, mil, muni e edu; non ci sono invece problemi con or, gv e k12.
La seconda tipologia di errori figli del comportamento della Google Fotocamera coi QR code riguarda la completa cancellazione di alcune stringhe specifiche, anche in questo caso non tutte. Questo problema entra in gioco con domini top-level più lunghi di due lettere, come il catalano .cat. Secondo il report di Heise, Google Fotocamera omette le stringhe successive alle prime due, con strafalcioni di questo tipo: l’indirizzo del referendum per l’indipendenza catalana (https://referendum.cat) diventa l’URL canadese inesistente https://referendum.ca. Lo stesso errore si verifica anche con .int, .pro, .travel, .apple, .bet, .beer e .amex e in quasi tutti i casi nello stesso modo (fa eccezione solo .apple, che diventa .app). Un problema analogo è stato rilevato anche con TLD più nuovi come .army, .art, .arte, .arab, .audio, .audio, .auto ed .autos.
Il terzo problema è stato messo in luce dal ricercatore di sicurezza Adrian Dabrowski e coinvolge un gran numero di sottodomini, solitamente con riferimento alla componente www. Anche in questo caso la Google Fotocamera decide in maniera del tutto arbitraria di aggiungere un punto non richiesto (e non necessario), trasformando URL autentici come https://www6.rbc.com della Royal Bank of Canada nell’inesistente https://www.6.rbc.com. Usare un QR code random per accedere al sito della propria banca non è la migliore delle idee, su questo non ci piove, ma il problema tocca anche https://www1.nyc.gov di New York City, che per la Fotocamera di Google diventa https://www.1.nyc.gov.
Cause dei problemi, stranezze e rischi
Secondo Dabrowski alla base dei problemi potrebbe esserci un cambiamento introdotto in Google Chrome: il browser nasconde gli URL completi nella barra degli indirizzi per semplificazione, omettendone alcune porzioni. Per quanto questo comportamento potrebbe essere comprensibile su display piccoli, è del tutto ingiustificabile nel momento in cui si traduce in errori come quelli descritti.
Per la verità non si tratta di una situazione specifica di Chrome, visto che anche impostando Firefox come browser di default su uno smartphone Android 12, il problema con la Google Fotocamera rimane.
Quest’ultima sfrutta Google Lens per la scansione dei QR code e, paradossalmente, l’app dedicata di Lens non presenta alcuno dei problemi citati. Per questo motivo, anziché rischiare di trovarsi ad aprire URL inesistenti o peggio indesiderati, si consiglia di usare l’app Google Lens o altre app fidate fino a quando Big G non si deciderà a rilasciare dei fix.
Per fortuna, si tratta quasi solo di casi limite, tuttavia la presenza dei problemi descritti è stata confermata su vari Pixel con Android 12, ovvero: Google Pixel 3 XL, Google Pixel 3a, Google Pixel 4, Google Pixel 4a, Google Pixel 5 e Google Pixel 6 Pro (ecco la nostra recensione). Gli stessi non sono stati rilevati su Android 11 e, stranamente, neppure su Google Pixel 6 (ecco la nostra recensione).