二维码在这么发达的时代是否安全?
二维码分动态码和静态码。静态码是小商贩印在纸上的,每天付款有限额;动态码比如付款码乘车码,每隔一段时间会变。
动态码肯定比静态码安全。动态码的本质是伺服器端校验。
而银行卡,nfc,ic卡都是静态码。
有人问,
在这么发达的时代,电话是否安全?显然没有什么大危险,但被骗的人不计其数。
在这么发达的时代,互联网是否安全?显然没有什么大危险,但深受其害的人不计其数。
在这么发达的时代,二维码是否安全?显然没有什么大危险,但无知的人总觉得极其危险,害怕扫一个二维码,然后银行账户就空了,害怕扫一个二维码,手机上的银行卡信息全没了,害怕扫一个二维码,手机就中病毒了,害怕扫一个二维码,手机就成了别人监视你的机器。这些固然有可能,就比如喝水有呛死的,吃饭有噎死的。没有什么不可能的,但很奇怪,没有人担心吃饭噎死,喝水呛死。
人的恐惧源于无知,大家不了解二维码,所以自然有这样的担心,这很正常。
二维码里存的是什么呢?一段文本而已,或者是一张像素低的图片。
有人会问,那这危险吗?图片还好,文本如果是网址,那么手机会自动登录这个网址,如果你进入这个网站后,什么操作都没有做,然后账户余额就马上不足了的话,那只能说,这个开发者真的是牛逼。但大部分人都会乱点,比如一个「立即领取」的按钮,就真的是立即领取吗?这四个字不过是人家显示给你的,比如我就在开发的时候,把实际功能给你设计成下载安装恶意软体。按一两个按钮一般也不会有大危险,可有人,被人家的网站界面迷惑,界面设计的和支付宝官网好像一毛一样,但实际上它很多地方点击是没有反应的,只有几个为骗取你重要信息的输入框,是有实际功能。有的人傻傻的,以为是支付宝官网要自己绑定银行卡呢,把卡号,密码,验证码写得妥妥的,还担心写错了。
危险的不是二维码,是妄图用二维码来欺骗不了解它的人,对于不知道的新东西,就容易骗人。
如果你不了解二维码,不妨看看我写的几篇二维码生成原理的文章,非常详细。
主要看用途是什么,现在二维码用途和我们息息相关的就是扫码支付了。直接点的就是聚合码直接扫码支付,还有就是餐厅扫码点餐消费,也是类似聚合码;还有广告信息等,个人觉得只是二维码和一些网址一样,如果制作人把病毒放进去,点开和扫码也一样有病毒,如果用好了那就是好的啦吧
亲,现在刷脸支付比二维码支付当然要安全
二维码技术作为一种信息交换、传递的介质,相较于一维条形码具有很大优势,不但在质方面使应用水平得以提升,在量方面也拓宽了信息传递的领域。二维码具有高密度、高容量、纠错强和成本低等特点,不依赖网路和资料库,因此拥有著广泛的应用前景。但近年来,在二维码使用中出现了各种安全问题,阻碍了它的应用和发展。基于此,本文将简单介绍述二维码技术在商业、工业、金融业等领域的广泛应用中存在的安全隐患,并讨论针对此类现象的应对策略。
二维码技术与应用中存在的安全问题
1、 成为病毒木马、钓鱼网站传播新渠道。
目前,一些二维码发布平台对二维码发布前及发布后安审核力度不足,制作源头难以查找,给手机病毒、吸费软体、钓鱼网站等通过二维码传播创造了条件。不法分子将恶意软体链接嵌入二维码中,诱骗他人扫描,造成用户被恶意耗费或被盗取网银账号等,严重损害用户利益。
2、 二维码信息更容易泄露
二维码信息虽然不可直接肉眼读取,但是由于扫码软体,特别是智能手的兴起,扫码识别已不再是一件难事,任何人都很容易可以进行扫码识别,所以储藏在二维码中的个人信息更容易泄露。前不久,我国火车票中二维码储藏的购票人个人信息就被指出特别容易被不法分子利用,轻易获取个人身份信息,存在安全隐患。
3、 对二维码的监管力度不够
二维码制作、扫描软体已纳入应用商店第三方应用监管范围,但目前的监管力度与二维码发展速度不匹配。同时,目前已发布的免费二维码制作和扫描软体非常之多,任何组织或个人均可借助这些免费二维码软体制作和发布二维码,若被不法分子利用,借助二维码肆意传播木马病毒或发布不良信息,将严重威胁我国网路与信息安全。
4、 二维码成为违法信息传播新方式
在现行互联网监管体系下,文本、图片、语音、视频等信息载体形式均有相应的信息内容监测过滤工作机制及技术手段要求,保证不良及违法信息在信息传播环节总体上可管可控。随著二维码日益普及,论坛、微博、网站中逐渐出现二维码信息载体形式,二维码具有承载内容不直接可见特征,一旦被用作敏感、违法信息传播渠道,在一定程度可规避现行信息内容监测过滤技术手段,大大增加了违法信息传播扩散的风险。
5、 二维码与移动支付结合,成为金融诈骗新手段
随著移动支付的发展,越来越多的用户开始使用二维码支付,这种只需扫描二维码就可完成全部支付流程的付款方式,极大地方便了消费者和商家。但由于多数二维码扫描工具缺乏病毒木马检测能力和恶意网址识别能力,使二维码支付成为了感染高危手机支付类病毒的染毒渠道。用户在支付过程中的个人消费信息及资金账户安全受到了严重的威胁。今年来,通过扫码支付被骗的新闻也屡见不鲜。
针对安全隐患的应对策略
1、加强监管力度
在我国,相关部门对二维码的监管是「一片空白」,制作二维码没有任何规定,发布二维码没有任何限制,我国二维码行业处于无序竞争状态。二维码诸多安全问题产生的根源在于该行业尚未建立起统一的标准体系,尚未形成统一的顶层编码和解析体系。解决这个问题迫在眉睫。
监管的首要工作是对二维码制作发布方的监管。此项工作主要包括以下几方面:应用商店有必要针对二维码制作和扫描软体建立安全检测评估与通报的长效机制;委托第三方专业评测机构对二维码制作和扫描软体进行周期性安全检测,并定期向社会通报发布检测结果;引导用户选择使用安全级别高的二维码软体;试点推行二维码应用软体开发者签名机制,实现应用软体的全程可溯源。
同时需要规范二维码发布的网路安全管理流程。针对二维码传播木马病毒的问题,微博、网站及论坛等二维码发布渠道须规范流程,建立二维码发布前的预审机制,并对已发布的二维码实行不定期检查。针对恶意二维码制作源头难以查找问题,组织科研机构和企业开展二维码溯源技术研究,实现二维码发布者有源可溯。
另外,监管还需要鼓励开发者研发推广安全的二维码软体,提高二维码制作和扫描工具安全检测能力。首先,通过加强行业协会、软体发布渠道、社会舆论的宣传和引导,鼓励软体开发者研发推广带有安全扫描功能或介面的二维码扫描软体,提高对病毒、木马链接等恶意网址识别能力;其次,还要提高二维码制作和扫描软体自身防篡改、反逆向等能力,切实保障用户数据、个人信息和财产安全。
2、技术层面的支持
从源头上,也就是技术层面上解决二维码的安全问题也许更加有效。
比如,在二维码内加入签名认证。签名认证机制是确保网路用户安全的最基本保障之一。通过签名认证机制,可以对二维码的制作发布者进行全民监督跟踪,及时准确的对问题二维码的来源进行究责与处罚,为二维码的发展开辟一条健康大道。
同时,采用抵御性强的加密解密方法也可以提高二维码的安全性。这个主要针对二维码的编译,采用抵御性强的加密解密方法在一定程度上可以增加二维码的保密性,减少信息泄露的可能性。
另外,硬体层面上也可以增加安全防护措施。比如用来扫码的手机等设备,应该加装可以识别危险二维码的硬体或者软体,防止设备进入危险网址或者进行诈骗支付等。
3. 使用者的安全意识
如何安全使用二维码?要解决这个问题大家应该掌握一些二维码的相关知识、常见犯罪手法和案例,提高安全防范意识。同时要养成良好的手机使用习惯。
首先,到官网下载工具软体。为避免二维码扫描工具与生成器藏毒问题,建议大家到正规的网站下载所需工具软体,不要随意到手机论坛以及无安全检测的电子市场下载。
其次,不要见码就扫。一般情况下,正规的报纸、杂志以及各大商场海报上的二维码是安全可靠的,但对于街头及网上发布的不明来历的二维码需要提高警惕。在扫码前要确认该二维码是否来自正规网站,更不要随意点击链接或下载安装。
然后,手机中需要安装防病毒软体。减少病毒侵害最好的办法就是安装防病毒软体,建议大家安装专业的手机安全软体。
另外,学会利用法律维护个人的合法权益。当我们的个人信息受到非法侵害时,首先可以选择向公安机关报案,要求追究行为人的刑事责任。其次,可以通过民事诉讼形式,追究其侵害个人隐私权的民事责任,积极地维护自己的合法权益。
安全还可以
是否安全主要体现在防伪这一块
很多时候,你去扫一个二维码,意图都是明确的,比如说进入一个网页或者应用,支付,加好友,下载软体等等
是否安全体现在这些场景中如果二维码被一些人修改或者已经被使用,以及二维码背后的网址是非法的,从而造成损失
当存在这些种种可能得时候,我们的应用场景能不能检测出来,避免造成损失
不幸的是,理论上是不可能,现实上也不可能,二维码防伪在本质上就是一个悖论,因为二维码就是一个一串文本,至于文本的内容有生码者自定义
那是不是很可怕?虽然说防伪不可能,但是能够利用假冒二维码进行攻击的难度也是可想而知的,比如说微信支付,你不知道微信伺服器对于二维码中的文本是如何解析的
关键在于如何让用户扫你的码,你可以通过一个广告吸引用户,但是里边的内容又能是怎样的?最多是一个你自己制作的网页,如果不符合扫码者预期,他会很快退出
有一个笑话是这样的,如果你想攻击一个二维码,当下最好的方法是从应用本身生码,然后替换目标码,什么意思呢,你自己在微信生这个支付码,然后和小卖部的替换,就是这么简单
推荐阅读:
