浅谈二维码安全问题
学院经济与管理学院
专业信息管理与信息系统
姓名文书禹
班级 34080201 学号 *************
二○一六年十月
引言:
近几年,各大互联网企业逐步认识到了二维码的重要性,纷纷引入了二维码的宣传方式,报纸、刊物、团购优惠、产品促销,甚至网上的视频媒体也采用二维码实现与用户交互!不仅如此,二维码还出现在广告牌以及商品的包装盒上,出现在火车票等各种票务凭证上,出现在餐饮等各种消费场所!真可谓是无处不在,二维码正在悄悄地改变着人们的生活方式,引领着一种时尚潮流!现在只需用手机扫描一下促销商品的二维码,就能方便地链接到商家的官方网站,查看到更为详细的信息!在新闻报道上扫描二维码,可以查阅报道的相关图片"视频等更详细的内容!二维码给我们的生活带来便捷的同时,其潜在风险也越来越大,如钓鱼网站"手机病毒"恶意程序等正在通过二维码进行四处传播!与此同时,借助二维码进行传播的手机病毒、恶意程序也日益增加,由于二维码技术已经相对成熟,普通用户即可通过网上的二维码转换软件,任意合成二维码,并且从外观上并不能判断其安全性,这就更加方便了黑客针对二维码进行各种非法操作,用户一旦扫描了嵌入病毒链接的二维码,其个人信息、银行账号、密码等就可能完全暴露在黑客面前,酿成的后果可想而知。而随着2014年三月份央行紧急叫停二维码支付,二维码的安全问题被推向高潮。
二维码的研究现状
国外对二维码技术的研究始于20世纪80年代末.在二维码符号表示技术研究方面,已经提出了多种码制,常见的有
表示技术研究方面,已经提出了多种码制,常见的有表示技术研究放面,已经提出了多种码制,常见的有PnF417,QReode,Codc49,e-ode16K,DataMatrix等这些二维条码的密度都比传统的一维条码有了较大的提高.在二维码标准化研究方面,国际自动识别制造商协会(AIM),美国标准化协会(ANSI)己经完成PnF417,QReode,Codc49,e-ode16K,DataMatrix码制的符号t/J。国际电工委员会第1联合委员会的第31分委员会,即条码自动识别技术委(150/IEC/JTCI/SC31),起pDF417,Code16K,DataMatrix,Maxieode等二维码的150/IEC标准一草案。
一、手机二维码的应用
二维码在公共交通、企业营销、物流管理、食品追溯等传统行业已得到了广泛应用,热门的是二维码与 OTO 模式的结合,借助移动互联网这一存储、传播、处理的新通道,二维码推进了线上与线下的互动,如社交服务、电子凭证、购物支付等等[2]。按照实现原理,手机二维码的应用可以分成三类模式:(1)解码上网/通信根据内容来划分,二维码的解码结果可以是 URL、SMS、邮件、电话号码、文本信息等。如果是 URL,手机会调用浏览器直接打开该链接,用户可以进行数据浏览或下载,如打开商品链接、下载优惠券、信息查询等。如果是 sms://或 tel://开头的内容,手机
会直接打开短信功能或进行拨号,具体操作取决于二维码解析规则的编写。(2)数据识读火车票就将二维码作为乘客信息的载体,初的二维码采用明文存储信息,为了避免不法分子恶意利用信息,目前已经对数据进行了加密。很多商家采用二维码作为电子名片、会员卡的载体。用户的信息被存储在二维码中,商家用识读软件扫描后信息直接推送到服务器中,服务器终端数据会实时进行更新,整个过程省去了人工录入环节,增大了信息容量,实现了电子数据的快速交换和实时更新。(3)解码验证在电子票务、电子回执、手机支付等应用服务中,用户通过手机二维码就能证明自己的自然身份、通讯身份或交易身份,这种模式突破了传统受理终端的业务模式。用户通过扫描支付二维码实现手机的下单和支付过程,商家通过专用识读设备读取身份信息来完成验证过程,实现了用户自助化。
二、手机二维码的安全问题
作为一种信息载体,二维码本身并不含有病毒。许多不法分子只是借助二维码作为一种工具来广泛实施恶意行为,严重危害用户的利益和隐私。目前手机二维码的安全问题主要存在以下几方面:(1)恶意的内容链接目前,大多数二维码承载的内容是一个URL,而现在的扫描软件往往不会对链接的安全性进行检测,恶意链接往往指向挂马网站、钓鱼网站、恶意软件安装链接等。用户点击带有流氓插件的网站后,木马或恶意软件会被浏览器自动下载到本地。有的链接对于 Android 系统是直接定位 APK 下载,对于
IOS 系统则指向 App Store 应用页面,用户一旦点击安装,手机就会感染木马。这类攻击严格上不算是病毒,应该属于社会工程学范畴,用户往往因为疏于防范而中招。(2)生成和传输环节存在漏洞二维码,尤其是进行身份认证的,在生成和传输过程中常常存在被拦截和篡改的可能,不法分子可能伪造链接钓鱼网站的二维码,诱导用户扫码,导致信息泄露。以二维码支付为例,黑客可以利用二维码的编码特性和 APK 的其他漏洞,拦截客户端发出的付款二维码进行恶意篡改,或者在扫描付款的客户端中插入恶意代码,通过在用户扫码交易时篡改数据,使资金流向黑客的账户里。另外,用户在使用二维码登录电脑终端的账号时,可能存在服务端的校验无法解决客户端屏幕劫持等问题,黑客也可能通过二次打包、跨站请求伪造攻击、 Android Hook 等方式劫持用户客户端数据,导致用户信息被盗。(3)智能终端安全性低由于硬软件方面存在局限性,手机不能像电脑一样安装功能全面的安全软件,手机环境的复杂性使其面临着多种潜在的安全威胁,比如手机病毒、木马插件等,这些威胁会利用系统或软件存在的漏洞来实现远程控制或恶意破坏的目的。以浏览器为例,针对带有网址链接的二维码,软件在扫码时会调用浏览器的解释引擎,如果浏览器存在缓冲区溢出漏洞,恶意分子就可能针对这些漏洞编写特定的 URL,植入恶意的HTML/JS 代码,以获得系统 root 权限。(4)身份认证机制不够通信安全的关键问题是手机用户的身份认证过程。网上银行可以利用数字签名、SSL、UBS key 等手段来保护账户的安全性以及数据
