اسکات مک‌کینل، مدیر شرکت نرم‌افزاری Check Point‌ معتقد است:‌ «شواهد نشان می‌دهد افرادی که از این کدها استفاده می‌کنند، از امنیت کاملی برخوردار نیستند.» او نبود رمزبندی صحیح در این کدها را یکی از خطراتی می‌داند که ممکن است باعث «حمله برچسبی» شود: چاپ یک کد آلوده روی برچسب و چسباندن آن روی دیگر کدها.از آنجا که کدهای QR در مکان‌های عمومی نصب می‌شود، برچسب‌های تقلبی بسادگی روی آنها قرار می‌گیرد و درصورت اسکن، سیستم‌عامل گوشی‌ کاربران را آلوده می‌کند.مک‌کینل همچنین معتقد است این خطرات می‌تواند فراتر از آلودگی سیستم عامل باشد و باعث ضرر مالی به صاحب گوشی شود. به‌عنوان مثال هکر می‌تواند کد QR خاصی طراحی کند تا به شماره‌ای خاص پیام متنی ارسال کند و به ازای هر پیغام یک دلار از اعتبارش کم کند.این نوع حملات در مقایسه با حملات امنیتی‌ که در بخش نرم‌افزار و برنامه‌نویسی انجام می‌شود، ابدا کار دشواری نیست؛ زیرا حمله‌کننده می‌تواند یک خط دستور اضافه کند تا بدافزار مورد نظرش را نصب کرده یا درخواست وب زیادی به سیستم خارجی بفرستد و حمله بافری ایجاد کند.در بین گوشی‌های هوشمند، دستگاه‌های اندرویدی در معرض بیشترین خطرهای بدافزاری قرار دارد. یکی از علل این موضوع، سیاست‌های باز گوگل در ارسال ابزارهای جدید است. هرچند اخیرا گوگل قابلیتی به‌نام Bouncer را معرفی کرده است که نرم‌افزارهای جدید را به‌صورت خودکار اسکن کرده و به‌دنبال بدافزار می‌گردد، اما هکرهای مطلع بخوبی می‌توانند از پس این حصار امنیتی برآمده و تبلت‌ها و گوشی‌های هوشمند اندرویدی را آلوده کنند. وجود کدهای QR می‌تواند کمک‌حال کسانی باشد که می‌خواهند بیشتر و بیشتر سیستم‌ها را آلوده کنند!

هرچند نرم‌افزارهای امنیتی موبایل و تکنیک‌های فیلترکردن آدرس URL می‌تواند جلوی مشاهده سایت‌های آلوده کاربران را بگیرد، اما اغلب گوشی‌های هوشمند جدید در مقابل این‌گونه حملات، آسیب‌پذیر نشان می‌دهد و بر اساس آمار به دست آمده، عده کمی روی گوشی خود نرم‌افزارهای امنیتی نصب می‌کنند. در حالی که نرم‌افزارهای امنیتی تلفن‌های هوشمند و تبلت‌ها روز به روز کامل‌تر می‌شود و کاربران براحتی می‌توانند جلوی این‌گونه تهدیدها را بگیرند. جالب است که بیشتر کاربران موبایل نمی‌دانند آیا گوشی‌شان آلوده خواهد شد یا خیر. به‌عنوان مثال، کاربران پیش از عکس‌گرفتن از کد QR کافی است به دقت بررسی کنند برچسب جدیدی روی آن نصب نشده باشد.کاربران هنگام اسکن این کدها باید موارد امنیتی را در نظر بگیرند. اگر کدی که می‌خواهند اسکن کنند، نام شناخته‌شده‌ای نبود، اساسا چرا باید کد را اسکن کرد؟ بهتر است آدرس آن را یادداشت کرده و از طریق رایانه‌ای که مجهز به‌ نرم‌افزارهای امنیتی است، به وب‌سایت مورد نظر رفت.