二維碼在這麼發達的時代是否安全?
二維碼分動態碼和靜態碼。靜態碼是小商販印在紙上的,每天付款有限額;動態碼比如付款碼乘車碼,每隔一段時間會變。
動態碼肯定比靜態碼安全。動態碼的本質是伺服器端校驗。
而銀行卡,nfc,ic卡都是靜態碼。
有人問,
在這麼發達的時代,電話是否安全?顯然沒有什麼大危險,但被騙的人不計其數。
在這麼發達的時代,互聯網是否安全?顯然沒有什麼大危險,但深受其害的人不計其數。
在這麼發達的時代,二維碼是否安全?顯然沒有什麼大危險,但無知的人總覺得極其危險,害怕掃一個二維碼,然後銀行賬戶就空了,害怕掃一個二維碼,手機上的銀行卡信息全沒了,害怕掃一個二維碼,手機就中病毒了,害怕掃一個二維碼,手機就成了別人監視你的機器。這些固然有可能,就比如喝水有嗆死的,吃飯有噎死的。沒有什麼不可能的,但很奇怪,沒有人擔心吃飯噎死,喝水嗆死。
人的恐懼源於無知,大家不了解二維碼,所以自然有這樣的擔心,這很正常。
二維碼里存的是什麼呢?一段文本而已,或者是一張像素低的圖片。
有人會問,那這危險嗎?圖片還好,文本如果是網址,那麼手機會自動登錄這個網址,如果你進入這個網站後,什麼操作都沒有做,然後賬戶餘額就馬上不足了的話,那隻能說,這個開發者真的是牛逼。但大部分人都會亂點,比如一個「立即領取」的按鈕,就真的是立即領取嗎?這四個字不過是人家顯示給你的,比如我就在開發的時候,把實際功能給你設計成下載安裝惡意軟體。按一兩個按鈕一般也不會有大危險,可有人,被人家的網站界面迷惑,界面設計的和支付寶官網好像一毛一樣,但實際上它很多地方點擊是沒有反應的,只有幾個為騙取你重要信息的輸入框,是有實際功能。有的人傻傻的,以為是支付寶官網要自己綁定銀行卡呢,把卡號,密碼,驗證碼寫得妥妥的,還擔心寫錯了。
危險的不是二維碼,是妄圖用二維碼來欺騙不了解它的人,對於不知道的新東西,就容易騙人。
如果你不了解二維碼,不妨看看我寫的幾篇二維碼生成原理的文章,非常詳細。
主要看用途是什麼,現在二維碼用途和我們息息相關的就是掃碼支付了。直接點的就是聚合碼直接掃碼支付,還有就是餐廳掃碼點餐消費,也是類似聚合碼;還有廣告信息等,個人覺得只是二維碼和一些網址一樣,如果製作人把病毒放進去,點開和掃碼也一樣有病毒,如果用好了那就是好的啦吧
親,現在刷臉支付比二維碼支付當然要安全
二維碼技術作為一種信息交換、傳遞的介質,相較於一維條形碼具有很大優勢,不但在質方面使應用水平得以提升,在量方面也拓寬了信息傳遞的領域。二維碼具有高密度、高容量、糾錯強和成本低等特點,不依賴網路和資料庫,因此擁有著廣泛的應用前景。但近年來,在二維碼使用中出現了各種安全問題,阻礙了它的應用和發展。基於此,本文將簡單介紹述二維碼技術在商業、工業、金融業等領域的廣泛應用中存在的安全隱患,並討論針對此類現象的應對策略。
二維碼技術與應用中存在的安全問題
1、 成為病毒木馬、釣魚網站傳播新渠道。
目前,一些二維碼發布平台對二維碼發布前及發布後安審核力度不足,製作源頭難以查找,給手機病毒、吸費軟體、釣魚網站等通過二維碼傳播創造了條件。不法分子將惡意軟體鏈接嵌入二維碼中,誘騙他人掃描,造成用戶被惡意耗費或被盜取網銀賬號等,嚴重損害用戶利益。
2、 二維碼信息更容易泄露
二維碼信息雖然不可直接肉眼讀取,但是由於掃碼軟體,特別是智能手的興起,掃碼識別已不再是一件難事,任何人都很容易可以進行掃碼識別,所以儲藏在二維碼中的個人信息更容易泄露。前不久,我國火車票中二維碼儲藏的購票人個人信息就被指出特別容易被不法分子利用,輕易獲取個人身份信息,存在安全隱患。
3、 對二維碼的監管力度不夠
二維碼製作、掃描軟體已納入應用商店第三方應用監管範圍,但目前的監管力度與二維碼發展速度不匹配。同時,目前已發布的免費二維碼製作和掃描軟體非常之多,任何組織或個人均可藉助這些免費二維碼軟體製作和發布二維碼,若被不法分子利用,藉助二維碼肆意傳播木馬病毒或發布不良信息,將嚴重威脅我國網路與信息安全。
4、 二維碼成為違法信息傳播新方式
在現行互聯網監管體系下,文本、圖片、語音、視頻等信息載體形式均有相應的信息內容監測過濾工作機制及技術手段要求,保證不良及違法信息在信息傳播環節總體上可管可控。隨著二維碼日益普及,論壇、微博、網站中逐漸出現二維碼信息載體形式,二維碼具有承載內容不直接可見特徵,一旦被用作敏感、違法信息傳播渠道,在一定程度可規避現行信息內容監測過濾技術手段,大大增加了違法信息傳播擴散的風險。
5、 二維碼與移動支付結合,成為金融詐騙新手段
隨著移動支付的發展,越來越多的用戶開始使用二維碼支付,這種只需掃描二維碼就可完成全部支付流程的付款方式,極大地方便了消費者和商家。但由於多數二維碼掃描工具缺乏病毒木馬檢測能力和惡意網址識別能力,使二維碼支付成為了感染高危手機支付類病毒的染毒渠道。用戶在支付過程中的個人消費信息及資金賬戶安全受到了嚴重的威脅。今年來,通過掃碼支付被騙的新聞也屢見不鮮。
針對安全隱患的應對策略
1、加強監管力度
在我國,相關部門對二維碼的監管是「一片空白」,製作二維碼沒有任何規定,發布二維碼沒有任何限制,我國二維碼行業處於無序競爭狀態。二維碼諸多安全問題產生的根源在於該行業尚未建立起統一的標準體系,尚未形成統一的頂層編碼和解析體系。解決這個問題迫在眉睫。
監管的首要工作是對二維碼製作發布方的監管。此項工作主要包括以下幾方面:應用商店有必要針對二維碼製作和掃描軟體建立安全檢測評估與通報的長效機制;委託第三方專業評測機構對二維碼製作和掃描軟體進行周期性安全檢測,並定期向社會通報發布檢測結果;引導用戶選擇使用安全級別高的二維碼軟體;試點推行二維碼應用軟體開發者簽名機制,實現應用軟體的全程可溯源。
同時需要規範二維碼發布的網路安全管理流程。針對二維碼傳播木馬病毒的問題,微博、網站及論壇等二維碼發布渠道須規範流程,建立二維碼發布前的預審機制,並對已發布的二維碼實行不定期檢查。針對惡意二維碼製作源頭難以查找問題,組織科研機構和企業開展二維碼溯源技術研究,實現二維碼發布者有源可溯。
另外,監管還需要鼓勵開發者研發推廣安全的二維碼軟體,提高二維碼製作和掃描工具安全檢測能力。首先,通過加強行業協會、軟體發布渠道、社會輿論的宣傳和引導,鼓勵軟體開發者研發推廣帶有安全掃描功能或介面的二維碼掃描軟體,提高對病毒、木馬鏈接等惡意網址識別能力;其次,還要提高二維碼製作和掃描軟體自身防篡改、反逆向等能力,切實保障用戶數據、個人信息和財產安全。
2、技術層面的支持
從源頭上,也就是技術層面上解決二維碼的安全問題也許更加有效。
比如,在二維碼內加入簽名認證。簽名認證機制是確保網路用戶安全的最基本保障之一。通過簽名認證機制,可以對二維碼的製作發布者進行全民監督跟蹤,及時準確的對問題二維碼的來源進行究責與處罰,為二維碼的發展開闢一條健康大道。
同時,採用抵禦性強的加密解密方法也可以提高二維碼的安全性。這個主要針對二維碼的編譯,採用抵禦性強的加密解密方法在一定程度上可以增加二維碼的保密性,減少信息泄露的可能性。
另外,硬體層面上也可以增加安全防護措施。比如用來掃碼的手機等設備,應該加裝可以識別危險二維碼的硬體或者軟體,防止設備進入危險網址或者進行詐騙支付等。
3. 使用者的安全意識
如何安全使用二維碼?要解決這個問題大家應該掌握一些二維碼的相關知識、常見犯罪手法和案例,提高安全防範意識。同時要養成良好的手機使用習慣。
首先,到官網下載工具軟體。為避免二維碼掃描工具與生成器藏毒問題,建議大家到正規的網站下載所需工具軟體,不要隨意到手機論壇以及無安全檢測的電子市場下載。
其次,不要見碼就掃。一般情況下,正規的報紙、雜誌以及各大商場海報上的二維碼是安全可靠的,但對於街頭及網上發布的不明來歷的二維碼需要提高警惕。在掃碼前要確認該二維碼是否來自正規網站,更不要隨意點擊鏈接或下載安裝。
然後,手機中需要安裝防病毒軟體。減少病毒侵害最好的辦法就是安裝防病毒軟體,建議大家安裝專業的手機安全軟體。
另外,學會利用法律維護個人的合法權益。當我們的個人信息受到非法侵害時,首先可以選擇向公安機關報案,要求追究行為人的刑事責任。其次,可以通過民事訴訟形式,追究其侵害個人隱私權的民事責任,積極地維護自己的合法權益。
安全還可以
是否安全主要體現在防偽這一塊
很多時候,你去掃一個二維碼,意圖都是明確的,比如說進入一個網頁或者應用,支付,加好友,下載軟體等等
是否安全體現在這些場景中如果二維碼被一些人修改或者已經被使用,以及二維碼背後的網址是非法的,從而造成損失
當存在這些種種可能得時候,我們的應用場景能不能檢測出來,避免造成損失
不幸的是,理論上是不可能,現實上也不可能,二維碼防偽在本質上就是一個悖論,因為二維碼就是一個一串文本,至於文本的內容有生碼者自定義
那是不是很可怕?雖然說防偽不可能,但是能夠利用假冒二維碼進行攻擊的難度也是可想而知的,比如說微信支付,你不知道微信伺服器對於二維碼中的文本是如何解析的
關鍵在於如何讓用戶掃你的碼,你可以通過一個廣告吸引用戶,但是裡邊的內容又能是怎樣的?最多是一個你自己製作的網頁,如果不符合掃碼者預期,他會很快退出
有一個笑話是這樣的,如果你想攻擊一個二維碼,當下最好的方法是從應用本身生碼,然後替換目標碼,什麼意思呢,你自己在微信生這個支付碼,然後和小賣部的替換,就是這麼簡單
推薦閱讀:
