观察者网

铁流:二维码信息安全问题频发,日本标准惹的祸?

2017-01-13 10:49:37

【文/ 观察者网专栏作者 铁流】

日前,多家媒体报道了《中国二维码应用被国外标准垄断 信息安全问题频发》一文。文中指出,二维码信息安全问题频发很大程度上是因为国外标准垄断二维码市场应用失控所导致的,破局的关键在于推广国内企业自主研发的二维码标准。那么,二维码信息安全问题频发,真的是日本QR码标准惹的祸?破解的关键真的在于推广自主研发的二维码标准?

资料图

本质上还是网页诈骗

二维条码/二维码(2-dimensional bar code)是用某种特定的几何图形按一定规律在平面(二维方向上)分布的黑白相间的图形记录数据符号信息的;在代码编制上巧妙地利用构成计算机内部逻辑基础的“0”、“1”比特流的概念,使用若干个与二进制相对应的几何形体来表示文字数值信息,通过图象输入设备或光电扫描设备自动识读以实现信息自动处理。

绝大多数二维码,实际上就是一个网址,由于大家用手机打网址会很累很麻烦,而二维码作为一种标准,手机扫描一下,就等同于输入网址了。所以,访问网页存在的所有问题,在二维码上都会存在。任何网址都可以做成二维码,自然也包括诈骗网站,这和到底采用日本QR码标准,还是美国PDF417码关系不大——任何诈骗网址,都可以成为骗人的二维码,并且是符合国际标准的。唯一不同点在于,由于XX认证或XXX认证等标识,一些网址在电脑上直接可以看出来是不是合法网站,而二维码则没有这些认证,就不是一眼所能看出来的了。

在《中国二维码应用被国外标准垄断 信息安全问题频发》一文中,举了几个因二维码而受骗上当的例子,比如“张女士被店主诱导她扫了一个二维码,在被要求输入身份证号和银行卡号后,店主又索取了手机验证码,导致银行卡内数千元现金被盗走……网店卖家发给张女士的二维码,背后链接的是一个钓鱼网站……”

再比如该文中介绍:广州惠州、深圳,青海西宁,山东青岛等多地都出现了不法分子打着交警执法的幌子,冒充交警法律文书来行骗。车上被贴的“罚单”上,印有二维码快速缴费通道。扫描二维码后,会进入支付转账页面,诱导车主转账缴纳“违章罚款”。

从文章的介绍中可以看出,二维码只是充当了一个网站链接入口的角色,并非骗走受害人金钱的“真凶”,如果不是网络店主索取了张女士的身份证号、银行卡号和手机验证码,单凭扫一下二维码,网络店主也没有盗走张女士银行卡内数千元现金的能力。同样,车上贴着罚单的二维码,也是引导受害人进入支付转账页面,诱导车主转账缴纳“违章罚款”,真正使受害人金钱造成损失的,是扫了二维码后进入转账页面的转账行为,二维码在此仅仅是充当一个网络链接入口的角色。

因此,文中所指出的因二维码受骗的例子,本质上都还是网络诈骗,无非用了二维码成为诈骗网站的入口。即便没有二维码做入口,这类网络诈骗也会通过另一种方式存在,诈骗者骗术越来越高明,以及受害人缺乏警惕性,都是这种诈骗得以存在的原因之一,将责任全部推给因为二维码采用的日本QR码标准,恐怕并不是非常妥当。

二维码确实存在安全风险

虽然之前提到的文章中诈骗案例不能将责任全部推给采用了日本QR码标准,但现在广泛使用的二维码存在安全风险却是事实。由于日本方面为了达到市场垄断目的,QR码采取了所谓的全市场免费开放策略,任何人都可以通过网络下载生成和解析二维码,这导致二维码不存在技术门槛,不法分子只要在二维码生成器中置入病毒、木马程序、扣费软件等的下载地址,立即就能生成二维码图片,基本可以实现一分钟制码。因此,我国二维码应用基本处于失控和无序状态,其中的风险可想而知。

另外,各种手机病毒横行也加大了二维码的风险,某些手机病毒借助二维码生成器、二维码扫描工具疯狂传播——一旦安装了这些软件,手机就会自动联网下载某些软件,并在用户不知情的情况下自动安装。更可怕的是,不法分子还频频利用二维码传播手机木马,让手机反复下载某些特定软件实现恶意吸费,甚至通过木马实现对手机中私人信息的获取,完成盗取用户钱财。

根据某从事杀毒软件开发的互联网公司统计:目前23%的手机木马及恶意广告插件,都通过伪装成二维码的方式传播。病毒中包括大量商用间谍软件,通常可实现转发短信、电话录音、环境录音、相册照片上传等功能,这将严重侵害手机用户的隐私和个人财产安全。

另外,部分手机用户缺乏安全意识和手机不良使用习惯本身就是安全隐患——在二维码已经深入老百姓生活的情况下,在不了解二维码编码原理和编码背后的发布者的情况下,一些用户常常见码就扫,过于随意的扫描二维码很容易陷入不法分子的圈套。

日前,云南破获首起“伪造二维码停车罚单”案, 涉事男子被刑拘

是否有经济实惠的提升QR码安全性的方法

经过多年的发展,日本QR码已经成为潮流,而且因为之前提到的为了达到市场垄断目的,QR码采取了所谓的全市场免费开放策略,使任何人都可以通过网络下载生成和解析二维码,并通过前台的手机进行实时解码。与此同时,没有后台对前台解析的内容进行识别和监控,出了问题往往无法锁定责任主体。

那么,如果在QR码基础上增加安全机制,对二维码进行认证具有可行性么?

据业内人士分析,QR码出道较早,而且当时为了方便推广,更多考虑了通用和方便,没有给安全机制留下充足的空间,而且后续标准必须向前兼容,这就会增加在标准中添加安全机制的难度。而且二维码承载信息量非常有限,根本无法做安全审计——理论上,二维码信息里面,只需要加上发布人以及其证书签名,那么手机扫描的时候就能够验证这些信息是否真的是官方发布,这样子就可以避免很多伪造欺骗。但是,问题在于,现行的二维码一般只能够存储几十个字符,最多也就300个,压根就放不下数字签名。

另外,建立一个二维码数据中心,进行安全审计在经济上和成本上也非常不现实,而且也会带来一些不方便。诚然,通过建设二维码数据中心,任何人生产的二维码,都要到中心申请一个编码,然后手机扫描的时候,再去中心查询一下这个编码是哪个主体发布的。

这种做法确实可以提升安全性。但在操作便捷上却略显不足,无法实现离线处理,手机没网络的话就扫不了码了。

更关键的是经济上的成本,如果提供安全认证服务,这笔钱由谁来出——工程师的人力成本、后台服务器成本、服务器和办公用房的场租成本、以及水电成本等等。据消息人士披露,某门户网站每年在删除博客、删除网站评论,以及大V发博客的审查上的审计成本都突破2亿元了……

推广国标能否实现破解困局

在《中国二维码应用被国外标准垄断 信息安全问题频发》一文中,明确指出:破解困局关键在于推广国标。并引用工信部中国电子技术标准化研究院技术总监王立建的言论:只有以自主知识产权二维码核心技术和相应的中国标准为基础的信息系统,才能将信息的“根服务器”建立在中国,从而在保障国家信息安全的同时避免国外标准带来的专利风险。

那么,抛弃日本QR码,采用中国拥有自主知识产权的技术标准,是否就能实现信息安全了呢?

诚然,相对于出道较早的日本QR码,中国的汉信码可以存储二进制信息3262个字符,远远超过QR码,可以通过增强安全审计的做法提升安全性,这可以说是新标准对老标准的优势。但是,这些中国标准也存在一些劣势。首先是通用性相对较差,其次是兼容性相对较差,也就是和现有二维码不兼容。最后是维护费用高。

之前提到过,QR码要进行安全审计的话,会带来较高的维护成本。同理,中国的新标准如果要避免QR码“没有后台对前台解析的内容进行识别和监控,出了问题往往无法锁定责任主体”的困境,那么运用安全机制则是必须的。

安全、高成本与便捷、廉价是两对矛盾的属性,中国的新标准即便再神奇,也不可能完全改变这一点。

在笔者看来,《中国二维码应用被国外标准垄断 信息安全问题频发》一文颇有以安全为名为中国标准替换日本标准造势之感。在2015年QR码颁布了新技术标准并开始收取专利费用的情况下,以安全为名,将QR码替换为中国拥有自主知识产权二维码的做法未尝不可,就如同美国以安全为由拒绝华为,保护思科。哪怕中国将来真的效法美国以行政力量扶持国内相关企业发展,这也是符合“国际惯例”的。

(作者微信公众号:tieliu1988)

本文系观察者网独家稿件,文章内容纯属作者个人观点,不代表平台观点,未经授权,不得转载,否则将追究法律责任。关注观察者网微信guanchacn,每日阅读趣味文章。

铁流

铁流

科技、金融观察者

分享到
来源:观察者网 | 责任编辑:孙武
专题 > 网络监督
网络监督
风闻·24小时最热
网友推荐最新闻
切换网页版
下载观察者App
tocomment gotop