二维码安全问题及应对策略

1 二维码的安全问题与应对策略 摘要 近年来 随着移动互联网与移动智能手机的普及 二维码产业蓬勃发展 二维码的身影在我们的生产生活中随处可见 通过扫描二维码进行移动支付 获取信息 网站跳转 广告推送的方式也越来越普及 未来 二维码的应用也 必将多元化 丰富化 但二维码也会被用于不良企图 由此引发的信息泄露 信息篡改 二维码病毒等安全问题 本文主要探讨二维码的安全问题和应对策 略 关键词 二维码 安全问题 应对策略 二维码技术作为一种信息交换 传递的介质 相较于一维条形码具有很大 优势 不但在质方面使应用水平得以提升 在量方面也拓宽了信息传递的领域 二维码具有高密度 高容量 纠错强和成本低等特点 不依赖网络和数据库 因此拥有着广泛的应用前景 但近年来 在二维码使用中出现了各种安全问题 阻碍了它的应用和发展 基于此 本文将简单介绍二维码的基本特点与发展现 状 并详细阐述二维码技术在商业 工业 金融业等领域的广泛应用中存在的 安全隐患 并讨论针对此类现象的应对策略 一 二维码的发展概述与基本特点 1 二维码发展概述 二维码是 20 世纪 70 年代由日本发明的一项将条码技术 它是一项将数据 符号信息记录在某种特定几何图形中的条码技术 通过图像输入设备或光电扫 描设备自动识读 以实现信息自动处理 二维码虽然出现并不晚 但二维码进入我们大众视野还是近几年的事情 主要得益于近几年互联网和智能移动手机的发展 二维码发明之初 主要用于 企业中产品的清点与追踪等用途 但由于一般的中小型企业仓库库存数量并不 大且仓储形式简单 使用信息量巨大的二维码有大材小用之嫌 同时二维码没 有形成完整的系统 应用起来不如一维码方便 而近几年 由于二维码在移动 支付 获取信息 网站跳转 广告推送等领域的功能开发 才使得二维码发展 的越来越迅猛 未来 我们生产生活中需要处理的信息越来越多 二维码的优 势也将得到凸显 应用也将越来越广泛 二维码的产业链也将越来越完整 同 2 时形成比较完整的行业标准 2 二维码的基本特点 1 信息量大 编码范围广 与一维码相比 二维码拥有更多的信息储量 可容纳多达 1850 个大写字母 或 2710 个数字 或 1108 个 字节 或 500 多个汉字 约为普通一维码容量的 几十倍 二维码不仅可存储文字 数字类信息 同样可将图片 声音 指纹 链接等数字化信息进行编码存储 2 容错能力强 译码可靠性高 由于二维码在形成过程中加入了校验信息 使二维码具有了错误校验和纠 正能力 理论上说 即便二维码部分损坏 不再是完整的二维码图形 也可以 还原正确信息 3 编译简便 成本低 一个二维码的编制 只需要一个小小的编译软件或者在线编译平台 即使 不懂得二维码编译原理的人们也可以利用软件或平台很快获得自己想要的二维 码 扫码识别则更加简单 这也是近几年二维码普及的一个重要原因 二维码凭借上述优势 得到了广泛应用 形成产业化 规模化发展 已渗 透至人们的日常生活 尤其在城市管理服务体系和民众日常生活服务中得到有 效应用 快速发展的同时 二维码存在的安全问题也不可忽视 二 二维码技术与应用中存在的安全问题 1 成为病毒木马 钓鱼网站传播新渠道 目前 一些二维码发布平台对二维码发布前及发布后安审核力度不足 制 作源头难以查找 给手机病毒 吸费软件 钓鱼网站等通过二维码传播创造了 条件 不法分子将恶意软件链接嵌入二维码中 诱骗他人扫描 造成用户被恶 意耗费或被盗取网银账号等 严重损害用户利益 2 二维码信息更容易泄露 二维码信息虽然不可直接肉眼读取 但是由于扫码软件 特别是智能手的 兴起 扫码识别已不再是一件难事 任何人都很容易可以进行扫码识别 所以 储藏在二维码中的个人信息更容易泄露 前不久 我国火车票中二维码储藏的 购票人个人信息就被指出特别容易被不法分子利用 轻易获取个人身份信息 3 存在安全隐患 3 对二维码的监管力度不够 二维码制作 扫描软件已纳入应用商店第三方应用监管范围 但目前的监 管力度与二维码发展速度不匹配 同时 目前已发布的免费二维码制作和扫描 软件非常之多 任何组织或个人均可借助这些免费二维码软件制作和发布二维 码 若被不法分子利用 借助二维码肆意 传播木马病毒或发布不良信息 将严 重威胁我国网络与信息安全 4 二维码成为违法信息传播新方式 在现行互联网监管体系下 文本 图片 语音 视频等信息载体形式均有 相应的信息内容监测过滤工作机制及技术手段要求 保证不良及违法信息在信 息传播环节总体上可管可控 随着二维码日益普及 论坛 微博 网站中逐渐 出现二维码信息载体形式 二维码具有承载内容不直接可见特征 一旦被用作 敏感 违法信息 传播渠道 在一定程度可规避现行信息内容监测过滤技术手段 大大增加了违法信息传播扩散的风险 5 二维码与移动支付结合 成为金融诈骗新手段 随着移动支付的发展 越来越多的用户开始使用二维码支付 这种只需扫 描二维码就可完成全部支付流程的付款方式 极大地方便了消费者和商家 但 由于多数二维码扫描工具缺乏病毒木马检测能力和恶意网址识别能力 使二维 码支付成为了感染高危手机支付类病毒的染毒渠道 用户在支付过程中的个人 消费信息及资金账户安全受到了严重的威胁 今年来 通过扫码支付被骗的新 闻也屡见不鲜 三 针对安全隐患的应对策略 1 加强监管力度 在我国 相关部门对二维码的监管是 一片空白 制作二维码没有任何规 定 发布二维码没有任何限制 我国二维码行业处于无序竞争状态 二维码诸 多安全问题产生的根源在于该行业尚未建立起统一的标准体系 尚未形成统一 的顶层编码和解析体系 解决这个问题迫在眉睫 监管的首要工作是对二维码制作发布方的监管 此项工作主要包括以下几 方面 应用商店有必要针对二维码制作和扫描软件建立安全检测评估与通报的 长效机制 委托第三方专业评测机构对二维码制作和扫描软件进行周期性安全 检测 并定期向社会通报发布检测结果 引导用户选择使用安全级别高的二维 4 码软件 试点推行二维码应用软件开发者签名机制 实现应用软件的全程可溯 源 同时需要规范二维码发布的网络安全管理流程 针对二维码传播木马病毒 的问题 微博 网站及论坛等二维码发布渠道须规范流程 建立二维码发布前 的预审机制 并对已发布的二维码实行不定期检查 针对恶意二维码制作源头 难以查找问题 组织科研机构和企业开展二维码溯源技术研究 实现二维码发 布者有源可溯 另外 监管还需要鼓励开发者研发推广安全的二维码软件 提高二维码制 作和扫描工具安全检测能力 首先 通过加强行业协会 软件发布渠道 社会 舆论的宣传和引导 鼓励软件开发者研发推广带有安全扫描功能或接口的二维 码扫描软件 提高对病毒 木马链接等恶 意网址识别能力 其次 还要提高二 维码制作和扫描软件自身防篡改 反逆向等能力 切实保障用户数据 个人信 息和财产安全 2 技术层面的支持 从源头上 也就是技术层面上解决二维码的安全问题也许更加有效 比如 在二维码内加入签名认证 签名认证机制是确保网络用户安全的最 基本保障之一 通过签名认证机制 可以对二维码的制作发布者进行全民监督 跟踪 及时准确的对问题二维码的来源进行究责与处罚 为二维码的发展开辟 一条健康大道 同时 采用抵御性强的加密解密方法也可以提高二维码的安全性 这个主 要针对二维码的编译 采用抵御性强的加密解密方法在一定程度上可以增加二 维码的保密性 减少信息泄露的可能性 另外 硬件层面上也可以增加安全防护措施 比如用来扫码的手机等设备 应该加装可以识别危险二维码的硬件或者软件 防止设备进入危险网址或者进 行诈骗支付等 3 使用者的安全意识 如何安全使用二维码 要解决这个问题大家应该掌握一些二维码的相关知 识 常见犯罪手法和案例 提高安全防范意识 同时要养成良好的手机使用习 惯 首先 到官网下载工具软件 为避免二维码扫描工具与生成器藏毒问题 建议大家到正规的网站下载所需工具软件 不要随意到手机论坛以及无安全检 测的电子市场下载 5 其次 不要见码就扫 一般情况下 正规的报纸 杂志以及各大商场海报 上的二维码是安全可靠的 但对于街头及网上发布的不明来历的二维码需要提 高警惕 在扫码前要确认该二维码是否来自正规网站 更不要随意点击链接或 下载安装 然后 手机中需要安装防病毒软件 减少病毒侵害最好的办法就是安装防 病毒软件 建议大家安装专业的手机安全软件 另外 学会利用法律维护个人的合法权益 当我们的个人信息受到非法侵 害时 首先可以选择向公安机关报案 要求追究行为人的刑事责任 其次 可 以通过民事诉讼形式 追究其侵害个人隐私权的民事责任 积极地维护自己的 合法权益 四 结束语 二维码的本质是解决信息化问题 实现信息快速便捷地传递 引导信息从 线上向线下导入的入口 随着二维码安全隐患受到广泛关注并得到妥善解决 行业市场 商业模式不断成熟 促进了媒体 通信和互联网的融合 对于传统 商业来说 开辟了新营销服务 延伸了宣传路 径 增进了与客户的互动 提升 了服务品质 将其应用 在电子票务方面 节省了票据开支 配送成本 并且可 提升防伪和安全性能方面的需求 二维码提供的信息移动性 便捷性以及全面 性 是其他方式难以比拟的 此外 物联网的发展规模也为二维码应用带来更 广阔的前景 在物联网和电子商务的推动下 二维码应用必将发展的越来越好 参考文献 1 袁世玮 二维码技术的应用与安全 J 保密科学技术 2013 03 67 69 2 孟楠 二维码安全问题分析及应对策略 J 现代电信科技 2014 10 3 李雨珊 二维码安全隐患分析及应对之策略 J 信息与电脑 2015 15