信息安全结课论文-浅谈二维码安全问题
手机二维码的安全问题研究_李璟莹
无线通信与移动互联网安全‖92‖手机二维码的安全问题研究◆李璟莹(中国人民公安大学网络安全保卫学院 北京 102600)摘要:随着智能手机的普及,以二维码为媒介的移动服务,开始广泛融入人们的生活。
但二维码在给生活带来便捷的同时,也存在诸多安全隐患。
本文首先分析了手机二维码的主要应用模式,归纳了实际应用中存在的安全问题,并给出了相应的防治策略。
关键词:二维码;安全;防治0 引言二维码,从一维码演变而来,是一种按一定规律在平面上分布的黑白相间的图形[1]。
二维码具备便捷、准确、容量大等诸多优点,自中国1993年开始研究起,二维码就得到了快速发展。
据工信部2016年2月最新统计,全国移动用户数量已达12.8亿,可以说与手机和移动互联网的融合,进一步扩宽了二维码的应用广度。
在二维码得到快速发展的同时,许多问题也不断涌现出来,借助手机二维码进行传播的移动应用恶意行为屡现不止,包括恶意扣费、山寨应用、隐私窃取、远程控制、系统破坏等,二维码成为了一种新型的犯罪工具,如何解决手机二维码的安全问题成为人们关注的新焦点。
1 手机二维码的应用二维码在公共交通、企业营销、物流管理、食品追溯等传统行业已得到了广泛应用,最热门的是二维码与OTO 模式的结合,借助移动互联网这一存储、传播、处理的新通道,二维码推进了线上与线下的互动,如社交服务、电子凭证、购物支付等等[2]。
按照实现原理,手机二维码的应用可以分成三类模式:(1)解码上网/通信根据内容来划分,二维码的解码结果可以是URL 、SMS 、邮件、电话号码、文本信息等。
如果是URL ,手机会调用浏览器直接打开该链接,用户可以进行数据浏览或下载,如打开商品链接、下载优惠券、信息查询等。
如果是sms ://或tel ://开头的内容,手机会直接打开短信功能或进行拨号,具体操作取决于二维码解析规则的编写。
(2)数据识读火车票就将二维码作为乘客信息的载体,最初的二维码采用明文存储信息,为了避免不法分子恶意利用信息,目前已经对数据进行了加密。
谈谈二维码安全问题
息恢复,译码的错误率不会超过千万分之 软件。这些恶意的软件都链接嵌入到二维
一。
码中,用户一旦扫描这些二维码并下载链
(3)可以引入加密措施,保密性和防 接中的恶意软件之后,这些木马病毒就开
伪性好。
始在用户的手机中运行,从而导致用户被
(4)读取方便,可以使用扫描工具或 恶意耗费、盗取网银。近几年,利用二维码
功能瞬间感染大量手机用户。
2 安全隐患分析
2.4 存在信息泄露风险
2.1 对二维码监管空白
大多数的二维码是使用明文编码,普
目前,制作者可以通过应用商店、社 通的二维码扫描软件均可以读取,这样就
交论坛平台等交流方式制作和发布自己 容易导致这些承载了个人、企业和政府等
信息泄露的风险。例如,火车票在实行实 名制的初期,车票上的二维码就是采用了 明文编码,就有一些不法分子利用这个漏 洞收集身份证信息,扰乱购票系统,危害 国家利益,后来经过了特殊编码和加密处 理,才遏制了这个弊端。现在市场上依然 有大量的二维码名片采用的明文编码,这 就存在很大的隐患,涉及个人的隐私、企 业的秘密等信息的泄露风险。
纳 500 多个汉字的信息或者是 1100 多个 博、网络论坛、媒体广告等,这些渠道发布
字节的信息,它还可以将图片、声音、链接 二维码不需要向国家部门申请,国家没有
等信息转化为数字信息。
专门的部门和人员进行安全审核。这样导
(2)容错能力强,译码可靠性比较高, 致的结果是很难查找到制作源头,会给我
二维码局部损坏达到 50%仍然可以将信 们的手机带来手机病毒、吸费软件、钓鱼
2.5 监管难度大 虽然在现行的互联网体系下,很多信 息载体形式均有相应的信息内容监控,过 滤技术或人工手段,但是随着二维码的大 量使用,很多种网上交流都出现了二维码 信息载体形式,这些二维码承载的内容不 能直接可见。由于二维码带有隐秘性,在 一定的程度上可以规避现行信息内容监 控系统,就导致了对二维码的监控执行繁 琐,监管的难度非常大。 3 总结 二维码给我们生活带来极大方便的 同时,我们也要时时刻刻了解二维码会给 我们会带来一些危害。所以在监管制度不 严的情况下,我们需要自己提高安全意 识,在扫描二维码时,我们要时刻提醒自 己的安全,特别是一些来历不明的二维码 要慎重扫描,千万不要贪图小便宜而扫描 一些二维码,导致自己的信息泄露或财产 损失。 参考文献: [1]李建华.信息内容安全管理及应用 [M].机械工业出版社,2010. [2]陈如明.大数据时代的挑战、价值 与应对策略[J].移动通信,2012. [3]高春燕.大数据的安全底线[J].中国 计算机报,2012.
二维码的安全隐患与解决措施分析
二维码的安全隐患与解决措施分析发布时间:2022-05-19T07:24:20.948Z 来源:《工程建设标准化》2022年第3期作者:吴智勇[导读] 二维码的普及应用,在给人们日常生产生活提供便利同时,往往潜在一定安全隐患,吴智勇昆山市民卡有限公司 215300摘要:二维码的普及应用,在给人们日常生产生活提供便利同时,往往潜在一定安全隐患,若不加以遏制,则必然会导致用户遭到信息和财产层面的安全威胁。
鉴于此,本文主要围绕着二维码潜在安全隐患及其解决措施开展深入的研究和探讨,期望可以为后续更多技术工作者和研究学者对此类课题的实践研究提供有价值的指导或者参考。
关键词:安全隐患;二维码;解决措施前言:二维码属于近几年广泛兴起及应用的一项科学技术,便捷性较为突出,但其所潜在安全隐患相关问题却日益突出化,为更好地维护网络安全,为广大用户自身信息及财产安全提供可靠性保障,积极探究二维码潜在安全隐患,并提出可行性的解决措施,对今后更好地维护二维码的使用安全来说较为重要。
1、概述二维码潜在安全隐患二维码属于把数据符号相关信息记录至某特定的几何图形当中一种条码技术,经光电扫描或者图像输入系统设备实现自动识别、读取,自动处理信息得以实现。
二维码所潜在安全隐患集中表现为:1.1 生成器获取便捷二维码的生成器获取便捷,一分钟即可制码。
因二维码制作无技术门槛,一些不法分子仅需在二维码的生成器内置入扣费软件、木马程序、病毒等下载地址,二维码的图片即可生成,也就是一分钟即可制码,不法分子通过热门游戏、促销、打折优惠各种幌子来诱骗用户扫描[1]。
1.2 生成器自身带有病毒现阶段,扫码巫毒手机病毒通过二维码的生成器及扫码工具大肆传播,安装此程序后,会自动处于联网状态下载软件,静默安装及下载各种带有病毒软件,用户流量会大量被消耗掉,大量实用工具系统软件被感染后,借助移动网络热点传播,感染二维码的扫描和生成器相关系统软件,对用户自身信息及财产安全所造成威胁巨大。
二维码支付的风险及防范措施
浅谈二维码支付的风险与防范措施移动互联网的快速发展,带动二维码在百姓生活中的应用和普及。
扫描二维码已经成为我们生活中最稀松平常的事儿“出门不带现金,手机扫码走天下。
”小手一划,轻松搞定之前的掏钱、数钱、拿钱的操作。
二维码支付是电子商务模式下的一种支付的衍生,商家可以把自己的商品价格、商品编号等编制成一个二维码,只需要扫这个二维码就可以完成收款。
二维码支付降低实体商户的运营成本。
通过二维码收款,客户可以不用排队买单、找零的漫长等待,而对于商家来说,减少了资金投入,实现了收款、营销、数据积累一体化。
“我们每天不是正在扫码,就是在去扫码的路上。
”二维码支付的便利、快捷、高效丰富着我们的生活。
比如二维码购买汽车票,用户通过网络购买车票时输入完购票信息,通过电子支付,即可完成车票的预订,稍后手机会收到的二维码电子票信息,旅客凭该信息即可到客运站换票或直接检票登车。
同样的飞机票、火车票、展会门票、影票等通过二维码都能实现电子化。
虽然这种收付款方式具有便利、快捷、高效、吸金等等优点,但是也给不法份子有机可乘,出现了堵多的安全隐患。
一不小心,你可能就要付出钱财损失的代价。
举个例子:我的同学田东是共享单车的资深爱好者。
周天打算骑自行车百脉泉一游,在准备出发时,她掏出手机,对准路边停放的,一开始扫码页面总是提示加载错误,于是她转向了旁边的另一辆“小绿”,扫完码等付款页面弹出,她看都没看直接选择了付款,迫不及待地开启了骑行之旅。
畅游完毕,晚上她习惯性地使用记账APP开始记录一天的花销,却发现莫名其妙多花了298元。
等她翻遍自己各种APP的付款转账记录,发现在扫小绿车1元码的时候,付款的不是1元,而是299元!后听同学分析原因,一开始扫码不成的那辆小绿车可能就是一个饵,有的人急用车,就会直接选择它旁边的车,为了赶时间看都不看直接扫码付款,从而掉进了骗子设下的陷阱。
但是,如果她不赶那几秒呢?看一看转账金额和官方报价的差距,就会意识到。
不要随意扫描二维码防止信息泄露
不要随意扫描二维码防止信息泄露在当今高度信息化的时代,二维码已经成为人们生活中不可或缺的一部分。
从支付宝、微信到各类APP,二维码无处不在,给我们的生活带来了极大的便利。
然而,过度依赖二维码也存在一定风险,如果使用不当极易导致信息泄露,给个人隐私和财产安全带来隐患。
因此,我们必须提高警惕,谨慎对待二维码扫描,切记不可轻易扫描陌生二维码。
二维码安全问题的重要性二维码作为一种快捷有效的信息传输方式,在生活中广泛应用。
但同时也给个人信息安全带来了隐患。
一旦轻易扫描了含有恶意链接的二维码,很可能会导致手机中毒,甚至泄露个人隐私信息。
这不仅会给个人带来经济损失,也会给社会安全带来不利影响。
因此,二维码安全问题值得我们高度重视。
识别并规避二维码风险要规避二维码安全风险,首先需要提高安全意识,养成良好的使用习惯。
我们应该谨慎对待来历不明的二维码,不轻易扫描。
要定期对手机进行病毒查杀,保持系统和软件的最新版本,以免遭受病毒侵害。
在使用第三方支付等涉及隐私信息的场景中,也要谨慎对待二维码,尽量使用官方渠道。
二维码安全的基本措施为了确保二维码使用的安全性,我们可以采取以下几点措施:一是仅扫描来自可靠渠道的二维码,避免扫描来历不明的二维码;二是保持手机系统和软件的最新版本,及时修复安全漏洞;三是养成良好的上网习惯,不轻易点击陌生链接;四是定期查杀手机病毒,保护好个人信息和财产安全。
只有做到这些,我们才能最大限度地规避二维码带来的安全隐患。
尽管二维码给我们的生活带来了诸多便利,但我们仍需提高警惕,谨慎对待二维码的使用。
只有树立正确的安全意识,采取有效的预防措施,我们才能最大限度地规避二维码带来的各种风险,保护好个人隐私和财产安全。
让我们一起为构建更加安全的数字生活贡献自己的力量。
排查扫码支付安全隐患(3篇)
第1篇随着移动支付的普及,扫码支付已经成为人们生活中不可或缺的一部分。
然而,扫码支付在给我们带来便利的同时,也存在着一定的安全隐患。
本文将从以下几个方面对扫码支付的安全隐患进行排查,并提出相应的防范措施。
一、扫码支付安全隐患1. 钓鱼网站、APP不法分子利用钓鱼网站、APP诱导用户扫码支付,从而窃取用户的个人信息和资金。
这类网站和APP通常伪装成正规商家或银行,以各种优惠活动为诱饵,诱导用户扫码支付。
2. 短信诈骗不法分子通过发送含有恶意链接的短信,诱导用户点击链接后扫码支付。
一旦用户扫码,不法分子即可获取用户的支付信息,盗取资金。
3. 伪基站伪基站是一种非法无线电设备,能够模拟运营商的信号,诱使用户连接到伪基站,从而获取用户的支付信息。
在伪基站环境下,用户扫码支付时,资金可能会被不法分子窃取。
4. 硬件设备泄露部分扫码支付设备存在硬件漏洞,如摄像头、麦克风等被恶意软件控制,从而窃取用户的支付信息。
5. 网络传输安全在扫码支付过程中,用户的信息可能会通过公共Wi-Fi等不安全的网络传输,存在被窃取的风险。
二、排查扫码支付安全隐患的措施1. 提高用户安全意识(1)普及扫码支付安全知识,让用户了解扫码支付的安全隐患,提高防范意识。
(2)提醒用户不要随意扫码,尤其是对于陌生二维码、优惠活动等。
(3)教育用户在支付过程中,关注支付信息的真实性,避免泄露个人信息。
2. 加强平台监管(1)对商家进行资质审核,确保其合法合规经营。
(2)对钓鱼网站、APP等非法渠道进行严厉打击,保护用户权益。
(3)加强短信、APP等渠道的监管,防止恶意链接传播。
3. 优化支付设备安全(1)提高扫码支付设备的硬件安全性,降低硬件漏洞风险。
(2)对设备进行定期检查、更新,确保设备安全稳定运行。
4. 保障网络传输安全(1)鼓励用户使用安全的Wi-Fi网络进行扫码支付。
(2)提高支付平台的数据加密强度,确保用户信息在传输过程中的安全。
二维码隐患排查报告(3篇)
第1篇一、前言随着移动互联网的快速发展,二维码作为一种新兴的识别技术,已广泛应用于各个领域,如商品溯源、票务管理、支付结算等。
然而,二维码的普及也带来了一系列的安全隐患。
为了保障人民群众的合法权益,维护社会稳定,本报告对二维码存在的隐患进行了全面排查,并提出相应的防范措施。
二、二维码隐患概述1. 信息泄露风险二维码中可能包含个人隐私、企业机密等敏感信息。
若二维码被恶意篡改或扫描,可能导致信息泄露,给用户带来财产损失和名誉损害。
2. 病毒传播风险二维码可能被病毒、恶意软件等恶意代码嵌入。
用户扫描此类二维码后,可能导致手机中毒,造成数据丢失、隐私泄露等后果。
3. 钓鱼网站风险不法分子利用二维码发布虚假信息,诱导用户扫描,从而访问恶意网站,窃取用户账户信息、密码等。
4. 诈骗风险不法分子利用二维码进行诈骗活动,如虚假促销、虚假招聘等,诱导用户转账汇款,造成经济损失。
5. 非法营销风险部分商家利用二维码进行非法营销,如发送垃圾短信、骚扰电话等,侵犯用户权益。
三、二维码隐患排查方法1. 信息安全排查(1)对二维码内容进行安全审查,确保其中不包含个人隐私、企业机密等敏感信息。
(2)对二维码生成工具进行安全评估,确保其生成的二维码无恶意代码。
2. 病毒防范排查(1)对手机进行病毒查杀,确保手机无病毒、恶意软件。
(2)对二维码扫描工具进行安全评估,确保其扫描功能无漏洞。
3. 网站安全排查(1)对二维码链接进行安全检测,确保其指向的网站无钓鱼、恶意代码。
(2)对二维码生成工具进行安全评估,确保其生成的二维码链接安全可靠。
4. 诈骗防范排查(1)加强对二维码内容的审核,发现虚假信息、诈骗活动,立即进行删除、封禁。
(2)提高用户防范意识,普及二维码安全知识,引导用户识别、防范诈骗。
5. 非法营销排查(1)对二维码内容进行审查,发现非法营销行为,立即进行删除、封禁。
(2)加强商家管理,规范二维码使用,杜绝非法营销。
四、二维码隐患防范措施1. 提高用户安全意识(1)普及二维码安全知识,引导用户识别、防范诈骗。
二维码的安全问题研究
都随 处可见 。然 而 , 随之 而来 的安全 问题 也 日益严峻 。本 文从二 维码 的应 用 出发 , 重点 阐述其 安全 隐患问题 , 并提 出安全 的使
[ 关键词] 二 维码 ; 安全 隐患 ; 病毒 二维码 的识读设备 ,只要在手机 中安装 二维 码识读软 件 , 就
1 . 引 言
述, 因而其 应用 范围 受到 了很大 限制 。于 是信 息容 量大 、 可 靠性 高 、 防伪保 密性 强的二维 条码就应运 而生 了 。 二维 码可 以看作 是 一维条 码 的升 级 ,是用某 种特 定 的 几何 方式 按照 一定规 律在 平 面分 布黑 白相 间 的图形 ,用 以 记录 数据信 息 。将 文字 、 数 字 以及 图像等信 息转变 为几何 图 形, 再通 过译 码设 备进 行读 取 , 将 原始数 据还 原 。 由于 二维 码可 以在 二维 方 向上 表 示信 息 ,其 存储 容量 远远 高于 一维 条码 , 一 个邮戳大 小 的二 维码就 能存储数 千个字 符信息 。与
二 维 码 的 方 式 表 现 出来 。如 果 是 单 纯 的 文 本 信 息 , 扫 描 之 后
一
我 们在 商 品 的标 签 以及 包 装上 一 般 都 会 看 到 一 维 条 码 ,这种 条码 信 息容 量很 小 ,大 约 能容纳 十几 个数 字或 字
符 , 因此 一 般 只 能 用 来 标 识 物 品 , 不 能 对 物 品进 行 详 细 描
购 物方式 。
下促销 商 品的二维码 , 就 能方便 地链 接 到商 家的 官方 网站 ,
查看 到更 为详细 的信息 。在 新 闻报道 上扫描 二维码 , 可 以查 阅报道 的相关 图片、 视频等更 详细 的 内容 。二维码 给我 们的 生活 带来便捷 的同时 ,其潜 在风 险也 越来 越大 ,如 钓鱼 网 站、 手机病毒 、 恶 意程序等 正在通 过二维码 进行 四处传播 。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
浅谈二维码安全问题
学院经济与管理学院
专业信息管理与信息系统姓名文书禹
班级34080201
学号 2013040802020
二○一六年十月
引言:
近几年,各大互联网企业逐步认识到了二维码的重要性,纷纷引入了二维码的宣传方式,报纸、刊物、团购优惠、产品促销,甚至网上的视频媒体也采用二维码实现与用户交互!不仅如此,二维码还出现在广告牌以及商品的包装盒上,出现在火车票等各种票务凭证上,出现在餐饮等各种消费场所!真可谓是无处不在,二维码正在悄悄地改变着人们的生活方式,引领着一种时尚潮流!现在只需用手机扫描一下促销商品的二维码,就能方便地链接到商家的官方网站,查看到更为详细的信息!在新闻报道上扫描二维码,可以查阅报道的相关图片"视频等更详细的内容!二维码给我们的生活带来便捷的同时,其潜在风险也越来越大,如钓鱼网站"手机病毒"恶意程序等正在通过二维码进行四处传播!与此同时,借助二维码进行传播的手机病毒、恶意程序也日益增加,由于二维码技术已经相对成熟,普通用户即可通过网上的二维码转换软件,任意合成二维码,并且从外观上并不能判断其安全性,这就更加方便了黑客针对二维码进行各种非法操作,用户一旦扫描了嵌入病毒链接的二维码,其个人信息、银行账号、密码等就可能完全暴露在黑客面前,酿成的后果可想而知。
而随着2014年三月份央行紧急叫停二维码支付,二维码的安全问题被推向高潮。
二维码的研究现状
国外对二维码技术的研究始于20世纪80年代末.在二维码符号表示技术研究方面,已经提出了多种码制,常见的有
表示技术研究方面,已经提出了多种码制,常见的有表示技术研究放面,已经提出了多种码制,常见的有
PnF417,QReode,Codc49,e-ode16K,DataMatrix等这些二维条码的密度都比传统的一维条码有了较大的提高.在二维码标准化研究方面,
国际自动识别制造商协会(AIM),美国标准化协会(ANSI)己经完成
PnF417,QReode,Codc49,e-ode16K,DataMatrix码制的符号t/J。
国际电工委员会第1联合委员会的第31分委员会,即条码自动识别技术委(150/IEC/JTCI/SC31),起pDF417,Code16K,DataMatrix,Maxieode等二维码的150/IEC标准一草案。
一、手机二维码的应用
二维码在公共交通、企业营销、物流管理、食品追溯等传统行业已得到了广泛应用,热门的是二维码与 OTO 模式的结合,借助移动互联网这一存储、传播、处理的新通道,二维码推进了线上与线下的互动,如社交服务、电子凭证、购物支付等等[2]。
按照实现原理,手机二维码的应用可以分成三类模式:(1)解码上网/通信根据内容来划分,二维码的解码结果可以是 URL、SMS、邮件、电话号码、文本信息等。
如果是 URL,手机会调用浏览器直接打开该链接,用户可以进行数据浏览或下载,如打开商品链接、下载优惠券、信息查询等。
如果是 sms://或 tel://开头的内容,手机会直接打开短信功能或进行拨号,具体操作取决于二维码解析规则的编写。
(2)
数据识读火车票就将二维码作为乘客信息的载体,初的二维码采用
明文存储信息,为了避免不法分子恶意利用信息,目前已经对数据
进行了加密。
很多商家采用二维码作为电子名片、会员卡的载体。
用户的信息被存储在二维码中,商家用识读软件扫描后信息直接推
送到服务器中,服务器终端数据会实时进行更新,整个过程省去了
人工录入环节,增大了信息容量,实现了电子数据的快速交换和实
时更新。
(3)解码验证在电子票务、电子回执、手机支付等应用
服务中,用户通过手机二维码就能证明自己的自然身份、通讯身份
或交易身份,这种模式突破了传统受理终端的业务模式。
用户通过
扫描支付二维码实现手机的下单和支付过程,商家通过专用识读设
备读取身份信息来完成验证过程,实现了用户自助化。
二、手机二维码的安全问题
作为一种信息载体,二维码本身并不含有病毒。
许多不法分子只是借助二维码作为一种工具来广泛实施恶意行为,严重危害用户的
利益和隐私。
目前手机二维码的安全问题主要存在以下几方面:(1)恶意的内容链接目前,大多数二维码承载的内容是一个 URL,而现在的扫描软件往往不会对链接的安全性进行检测,恶意链接往
往指向挂马网站、钓鱼网站、恶意软件安装链接等。
用户点击带有
流氓插件的网站后,木马或恶意软件会被浏览器自动下载到本地。
有的链接对于 Android 系统是直接定位 APK 下载,对于 IOS 系统则指向 App Store 应用页面,用户一旦点击安装,手机就会感染木马。
这类攻击严格上不算是病毒,应该属于社会工程学范畴,用户
往往因为疏于防范而中招。
(2)生成和传输环节存在漏洞二维码,尤其是进行身份认证的,在生成和传输过程中常常存在被拦截和篡改的可能,不法分子可能伪造链接钓鱼网站的二维码,诱导用户扫码,导致信息泄露。
以二维码支付为例,黑客可以利用二维码的编码特性和 APK 的其他漏洞,拦截客户端发出的付款二维码进行恶意篡改,或者在扫描付款的客户端中插入恶意代码,通过在用户扫码交易时篡改数据,使资金流向黑客的账户里。
另外,用户在使用二维码登录电脑终端的账号时,可能存在服务端的校验无法解决客户端屏幕劫持等问题,黑客也可能通过二次打包、跨站请求伪造攻击、Android Hook 等方式劫持用户客户端数据,导致用户信息被盗。
(3)智能终端安全性低由于硬软件方面存在局限性,手机不能像电脑一样安装功能全面的安全软件,手机环境的复杂性使其面临着多种潜在的安全威胁,比如手机病毒、木马插件等,这些威胁会利用系统或软件存在的漏洞来实现远程控制或恶意破坏的目的。
以浏览器为例,针对带有网址链接的二维码,软件在扫码时会调用浏览器的解释引擎,如果浏览器存在缓冲区溢出漏洞,恶意分子就可能针对这些漏洞编写特定的 URL,植入恶意的 HTML/JS 代码,以获得系统 root 权限。
(4)身份认证机制不够通信安全的关键问题是手机用户的身份认证过程。
网上银行可以利用数字签名、SSL、UBS key 等手段来保护账户的安全性以及数据的完整性、保密性和不可否认性,但是手机终端的运行能力和存储空间与电脑终端不同,复杂的认证过程并不适用于网络环境。
目前的手机支付终端在完成二维码扫描后,
一般只要求输入支付密码或者短信验证码,甚至可以通过短信重置密码,这种支付过程的验证方式过于单一,存在短信劫持、篡改密码等问题。
(5)开源类库二维码解析程序中往往需要引用开源类库,如 Google 的Zxing,这些类库有可能被不法分子利用,因为可执行文件的输入表只提供了动态链接库的名称,没有其它详细信息,当黑客通过不法手段劫持或替换正常的 so 文件,或者替换原有的API 地址为自己的 so 中 API 地址,病毒木马就可以随着文档的打开而加载自身。
如果软件装载动态链接库以及可执行文件的方式存在问题,黑客可以利用该漏洞在应用程序搜索的一个目录中植入伪装的恶意软件,当应用程序查找.so、.apk 文件时,就可能启动恶意程序。
(6)标准规范不一目前,我国主要采用国外的码制,如 QR 码及 DM 码,还有汉信码等多种国产码制,码制的不统一造成了二维码生成和解析的多样化。
对于不同编码格式或者经过加密的二维码,用户手机在进行解码时可能出现问题。
另外,虽然二维码本身承载的数据是安全的,但是有些软件却有一套自己的解析规则,只要使用该软件进行扫码就会自动执行指定功能。
这个自动的执行过程,使得安全数据立刻变成恶意信息,例如,无论用户输入什么信息,生成的二维码内容都是一个恶意网址链接。
以下通过具体实例及图片来简明阐述手机二维码问题逻辑之间的流程:
(一)某著名股份制银行二维码漏洞
该银行中关于二维码的功能有两处,一处是扫一扫功能,另一处是我要收款中的二维码功能。
如下图所示(左:扫一扫功能;右:我要收款功能)
下面从这两方面对二维码安全展开分析:
1、扫码分析:
扫码逻辑暴露后,扫码劫持变得非常简单,黑客可以在用户进行扫描付款的客户端中插入恶意代码,进行交易数据篡改,使本该流向商户的资金流向黑客。
2、我要收款
代码如下:
虽然该银行对收款的二维码存储的信息进行了加密,但还是不够安全,仍然存在一定的安全隐患,黑客可以利用二维码的特性和该APK的其他漏洞,进行一些非法的活动,下图模拟了该应用可能存在的安全隐患。
(二)支付宝付款码
支付宝钱包做了两种付款码,条形码和二维码,下面对二维码的生成逻辑进行了简单的分析。
代码分析设计如下图所示:
(三)某大行扫码威胁
该银行手机客户端获取二维码有两种方式,一是从手机相册中获取二维码图片;二是进行扫码获取二维码信息。
二维码作为登录凭证、流量入口、身份凭证、支付凭证等,在日常生活中的应用比比皆是,其漏洞问题也远不止以上阐述的这些,而这些安全问题一天不得到解决,我们的隐私安全、财产安全等就一天得不到可靠保证,随时都要担心自己的账号是否“被”登录?手机银行绑定的银行卡是否被黑客攻击等等。
因此,如何为二维码安全打造一套可靠的解决方案,让二维码支付在安全的环境下恢复使用,是当下亟待解决的重要问题。