主辦單位:中國物品編碼中心 | 中國自動識別技術協會 | 《中國自動識別技術》雜志社

設為首頁 | 加入收藏 | 關于我們

  二維碼  正文

二維碼背后的安全風險隱憂和破解之道

發布時間:2017年09月05日 來源:中國自動識別網 作者:唐成

二維碼在日常生活中的應用已非常廣泛,從電商到商場,從小賣店到菜市場隨處可見。在商業上的運用最為廣泛,許多商業活動和購物區域中都能發現這小小的“二維碼”。不可否認,二維碼的商業化已成趨勢。
二維碼應用可分為主讀和被讀,被讀類應用是以手機等存儲二維碼作為電子交易或支付的憑證,用于電子商務、消費打折等。主讀類應用是以安裝識讀二維碼軟件的手持工具(包括手機),識讀各種載體上的二維碼,可用于防偽溯源、執法檢查等。基于個人智能手機的巨大占有率,二維碼的應用對于移動互聯網的發展意義重大。

 

二維碼應用的問題和隱患

除了社會經濟生活中廣泛應用的二維碼“掃一掃”,朋友圈里分享的“長按識別”公眾號, 微信在2016年底上線微信小程序, 用戶可以通過掃二維碼、精確搜索、聊天分享等方式體驗,使用后在“發現”中會出現小程序入口,隨著各應用的陸續接入,或將迎來一輪新的掃碼熱潮。

二維碼“掃描”或“長按識別”誠然方便簡單,但其中隱藏的安全風險卻不容小覷,二維碼偷換、偽造、篡改、“釣魚”等案件頻發。在普通用戶看來,二維碼是一張簡單的圖片,是一個聯網的入口,但在專業人士眼中,二維碼建立了一個信息傳輸的通道,其背后隱藏著一整套軟硬件系統,任何數據都可能被收集,尤其涉及到賬戶密碼、個人隱私等敏感信息。更嚴重的說,由二維碼方式建立起來的這個通道,潛藏著未知的信息安全隱患,例如無法證實二維碼的真偽,偽造官方二維碼有可能被“釣魚”;解碼軟件有可能嵌入有木馬程序或者病毒;再如傳輸過程中數據被攔截、篡改,重要的信息有可能暴露,單方的行為有可能抵賴;最后,用于收集數據的服務器一旦被黑客攻破或被內鬼竊取,則會導致大規模的信息泄露安全事件。

近年來,O2O、物聯網、智慧城市等產業興起,二維碼的應用將越來越廣泛,眼前這個“入口”尚不能自主可控,如何繼續談論安全標準問題。誰來保證掃描的二維碼是真實可信的?誰來保證掃描的二維碼不會被植入病毒?誰又來保證掃描二維碼后信息不被竊取泄漏?綜合二維碼的安全風險,大致分為三類:

技術專利和國家經濟風險

據悉,當前國內的主流二維碼,是日本Denso公司1994年研制的QR碼,起初以免費開發的市場策略迅速占領我國市場,由于當時國內沒有自主知識產權的二維碼技術,2000年QR碼成為我國國家標準,并廣泛應用于政務系統、智能制造、金融支付、電子商務、新聞傳媒等領域,與網絡信息安全、經濟運行環境、社會公共安全及人民群眾日常生活息息相關。目前國內的二維碼市場幾乎全部被QR碼占據, QR碼專利既沒有在國內申請,也沒有放棄專利權;2015年QR碼頒布了新的技術標準并開始收取專利費用,但國內市場仍在免費使用2000年的技術標準,隨時可能產生嚴重的知識產權風險,甚至可能直接影響到經濟社會運行安全。

我國二維碼應用基本處于失控和無序狀態。任何人都可以通過網絡下載生成和解析二維碼,并通過前臺的手機進行實時解碼,但沒有后臺對前臺解析的內容進行識別和監控,給了不法分子利用技術漏洞,惡意篡改或植入木馬等行為的可乘之機,開放式的市場應用模式導致了各種安全問題頻發且難以有效監控,出了問題往往無法鎖定責任主體。從惡意廣告到金融詐騙,甚至包括敏感政治詞匯、政治宣傳,以及非法集會通知、謠言等,都能通過二維碼在計算機網絡和移動互聯網快速、廣泛傳播。

其次,美國PDF417碼是20世紀90年代初由美國Symbol公司發明的一種公開的技術標準,在多個國家廣泛應用于身份識別、證件管理、物流運輸乃至國防等領域,我國飛機登機牌二維碼、部分快遞單據二維碼等都使用的是PDF417碼。

這兩個二維碼標準和專利都不屬于中國,雖然免費使用,但未來將面臨兩方面的風險:一是法律風險,當專利擁有者不再允許免費使用時,中國整個市場的二維碼應用將處于非常尷尬的境地;二是經濟風險,現在免費的專利終究有一天要獲得回報,那中國市場的交費將是一個天文數字,這樣的事情曾在計算機軟件領域面臨過,國際軟件廠商只需要設立一個法律辦公室就可以向所有機構和公司收費,不然中國又將是國際上侵犯知識產權的負面典型。

為了解決我國二維碼的現實問題,中國物品編碼中心組織研發了我國自主知識產權的二維碼——“漢信碼”,其具有漢字編碼能力強、抗污損、抗畸變、糾錯能力強等特性,獲得多項國家專利,2011年9月已成為AIM(國際自動識別與移動技術協會)國際標準,2015年9月成為ISO國際標準項目。隨著《商品二維碼》國家標準的正式發布,保證了商品上應用二維碼與全球統一編碼標識系統的兼容性,同時實現了與二維碼追溯、企業營銷、線上線下互動等多種功能的結合,其出臺和廣泛應用,有利于降低企業成本,降低消費者掃描風險,解決相關應用碎片化問題,為二維碼在我國的推廣、管理和服務提供了指南,具有較強的科學性和實用性。我國二維碼的“話語權”必將逐步提高。

二維碼軟件風險

二維碼軟件包括二維碼解碼軟件和二維碼應用軟件。實際上,每一個二維碼應用軟件都嵌入了一個二維碼解碼軟件。

二維碼標準是開放的,任何有關公司甚至個人都可以開發解碼軟件,這些沒有安全標準和安全認證的二維碼解碼軟件被其他公司和個人采用生成二維碼,掃碼解析,或者嵌入到相關的應用軟件之中,必然隱患無窮。在二維碼解碼軟件、應用軟件中,不排除有木馬病毒盜取用戶的機密信息,如用戶名、密碼,以及隱私或其他信息等,常見的掃碼終端就是智能手機,用戶完全無法掌握和了解自己使用的相關軟件是否安全。即使專業的掃描識別,由于在設計時并沒有考慮安全支付的問題,也無法保證信息安全。

二維碼應用風險

即使二維碼解碼和應用軟件是安全的,在無處不在的二維碼應用中還會產生其他應用風險。這些風險包括網站的黑客入侵;在二維碼中置入虛假的網站和信息引導用戶;甚至偷換二維碼盜取用戶的支付等。

 

積極建立安全解決機制

二維碼是一個跨學科、跨領域、跨行業的信息化應用工具,與國家網絡信息安全、經濟運行安全、公共安全和百姓生活息息相關,但隨之而來的信息安全漏洞也給人們的財產安全帶來巨大風險, 而相關管控卻遲遲跟不上步伐,如果不能及時有效的并且系統性的堵住安全漏洞,將給國家,企業和個人帶來無法估量的損失。

破解困局關鍵在于推廣國家標準

目前我國共有5項二維碼國家標準,除了日本QR碼、美國PDF417碼, 還有我國自主研發的漢信碼、網格矩陣碼(GM碼)、緊密矩陣碼(CM碼)三項國產標準。QR碼推廣較早,應用范圍也最為廣泛,但QR碼專用識讀機具、標簽生成設備等核心技術和生產能力都掌握在日本企業手中。

特別需要指出的是日本企業在我國大力推廣QR碼標準,已經獲得了硬件設備的壟斷地位。只有以自主知識產權二維碼核心技術和相應的中國標準為基礎的信息系統,才能將信息的“根服務器”建立在中國,從而在保障國家信息安全的同時避免國外標準帶來的專利風險。
 我國自主研發的漢信碼、GM碼、CM碼的標準能力、技術水平等都不低于國外標準, 只要建立更加開放的市場策略,完全具備替換QR碼和PDF417碼的技術標準能力和產業配套能力。但因國產標準缺乏政策扶持和驅動而遲遲不能有效使用,制約了我國自主二維碼產業的發展,否則,未來市場的整體切換成本將是巨大的。

近幾年隨著國家物聯網、智慧城市等應用系統的建設興起,國家產業部門開始逐步重視二維碼標準的建設工作,但在標準化的落實和應用方面,缺乏政策層面的措施和推動力度,對于目前出現的二維碼信息安全問題也缺乏有效的監管指導和協調機制。這就需要國家層面加強頂層設計和應用規范,實現二維碼技術自主、可控、安全,促進產業健康發展, 相關監管部門和行業組織建立起統一的安全標準,為用戶營造一個安全的二維碼使用環境。  

建立二維碼軟硬件產品認證機制
二維碼的產業鏈包含了二維碼標準、解碼軟件、應用軟件、識讀設備等,每個環節都需要確保是安全的,二維碼的應用才能是安全的。免費開放的二維碼標準和目前二維碼應用的現狀魚龍混雜, 用戶更多的是選擇隨大流(大眾流行)或選擇相信大的廠商,因此不可避免的會出現這樣或那樣的應用安全問題,這方面的案例不勝枚舉。

要改變這樣的現狀,除了要推廣國家標準外,在執行層面要有權威機構,比如納入信息安全戰略,上升為國家意志到“信息安全領導小組”,才能破除“九龍治水”的弊端,最終落實到對二維碼產業鏈中的每一個企業和企業提供的產品和服務進行安全認證,并定期檢查,

建立可信的白名單以及用戶查詢黑名單等等,這樣實施了安全認證,才能引導用戶和市場采用安全的二維碼應用,減少受騙及漏洞風險。
•掃碼軟件廠商。在提供基于二維碼的新應用時,要安全的設計和實現二維碼識別后內容的解析引擎,對網址的識別可以集成第三方安全廠商提供的URL黑名單查詢服務,對已知惡意網址提前向掃碼用戶告警,并取消點擊交互行為的支持。
•用戶要做到,一要選擇知名的安全認證的二維碼掃描軟件,二要避免打開陌生和奇怪的網址。
•安全廠商集成的惡意網址識別引擎或提供云掃碼,二維碼里的數據,先在云端看看,不良內容先消毒。

健全法律建設及用戶教育

把二維碼應用的管理納入法制軌道是非常急迫的市場需要,利用技術手段讓每一個二維碼的安全問題可追蹤,可鎖定違法者,讓違法者知道法網恢恢,違法成本將非常高,同時加強用戶教育,了解二維碼應用過程中的潛在風險,不給二維碼犯罪者以可乘之機。       

作者單位:中國自動識別技術協會

《中國自動識別技術》2017年第4期總第67期

延伸閱讀:

聲明:

    凡本網注明“來源:中國自動識別網、《中國自動識別技術》、《條碼與信息系統》”的所有作品,版權均屬于中國自動識別網、《中國自動識別技術》、《條碼與信息系統》, 未經本網授權不得轉載、摘編或利用其他方式使用上述作品。已經本網授權使用作品的,應在授權范圍內使用,并注明“來源:中國自動識別網、《中國自動識別技術》或《條碼與信息系統》”。違反上述聲明者,本網將追究其相關法律責任。
    凡本網注明“來源:XXX(非中國自動識別網、《中國自動識別技術》、《條碼與信息系統》)”的作品,均轉載自其他媒體,轉載目的在于傳遞更多信息,并不代表本網贊同其觀點和對其真實性負責。文章內容僅供參考。 如因作品內容、版權和其他問題需要同本網聯系的,請將內容傳真至010-84295675,以便本網盡快處理。

高端訪談 更多>>
Semtech:釋放LoRa的應用價值
LoRa網絡目前已經在全球140多個國家和地區得到部署,2020年1月,全球基于LoRa的終端節點數量將超過1.35億臺,而全球部...
SML:以RFID技術傳遞新價值
孫苑琳 2014年畢業于波士頓大學傳播學院;2017年加入SML集團,擔任RFID 科技高級副總裁。懷著對科技行業的熱忱,致力...
有效安全的數據:醫療信息...
斑馬技術《2022中國醫療行業前瞻報告》顯示,中國正處于臨床移動信息化轉型的開端,中國各地的醫院正在擴大臨床移動性...
安全才是企業競合的力量
2019年OSSRA報告提供了商業應用程序中開源風險管理的狀況概覽。報告表明目前仍然存在重大挑戰,絕大多數的應用程序包...
雜志專區 更多>>

《2020第2期》

《2020第2期》

 

 

 

 

 

 

 

11选5每天赚200元不难