主办单位:中国物品编码中心 | 中国自动识别技术协会 | 《中国自动识别技术》杂志社

设为首页 | 加入收藏 | 关于我们

  二维码  正文

二维码背后的安全风险隐忧和破解之道

发布时间:2017年09月05日 来源:中国自动识别网 作者:唐成

二维码在日常生活中的应用已非常广泛,从电商到商场,从小卖店到菜市场随处可见。在商业上的运用最为广泛,许多商业活动和购物区域中都能发现这小小的“二维码”。不可否认,二维码的商业化已成趋势。
二维码应用可分为主读和被读,被读类应用是以手机等存储二维码作为电子交易或支付的凭证,用于电子商务、消费打折等。主读类应用是以安装识读二维码软件的手持工具(包括手机),识读各种载体上的二维码,可用于防伪溯源、执法检查等。基于个人智能手机的巨大占有率,二维码的应用对于移动互联网的发展意义重大。

 

二维码应用的问题和隐患

除了社会经济生活中广泛应用的二维码“扫一扫”,朋友圈里分享的“长按识别”公众号, 微信在2016年底上线微信小程序, 用户可以通过扫二维码、精确搜索、聊天分享等方式体验,使用后在“发现”中会出现小程序入口,随着各应用的陆续接入,或将迎来一轮新的扫码热潮。

二维码“扫描”或“长按识别”诚然方便简单,但其中隐藏的安全风险却不容小觑,二维码偷换、伪造、篡改、“钓鱼”等案件频发。在普通用户看来,二维码是一张简单的图片,是一个联网的入口,但在专业人士眼中,二维码建立了一个信息传输的通道,其背后隐藏着一整套软硬件系统,任何数据都可能被收集,尤其涉及到账户密码、个人隐私等敏感信息。更严重的说,由二维码方式建立起来的这个通道,潜藏着未知的信息安全隐患,例如无法证实二维码的真伪,伪造官方二维码有可能被“钓鱼”;解码软件有可能嵌入有木马程序或者病毒;再如传输过程中数据被拦截、篡改,重要的信息有可能暴露,单方的行为有可能抵赖;最后,用于收集数据的服务器一旦被黑客攻破或被内鬼窃取,则会导致大规模的信息泄露安全事件。

近年来,O2O、物联网、智慧城市等产业兴起,二维码的应用将越来越广泛,眼前这个“入口”尚不能自主可控,如何继续谈论安全标准问题。谁来保证扫描的二维码是真实可信的?谁来保证扫描的二维码不会被植入病毒?谁又来保证扫描二维码后信息不被窃取泄漏?综合二维码的安全风险,大致分为三类:

技术专利和国家经济风险

据悉,当前国内的主流二维码,是日本Denso公司1994年研制的QR码,起初以免费开发的市场策略迅速占领我国市场,由于当时国内没有自主知识产权的二维码技术,2000年QR码成为我国国家标准,并广泛应用于政务系统、智能制造、金融支付、电子商务、新闻传媒等领域,与网络信息安全、经济运行环境、社会公共安全及人民群众日常生活息息相关。目前国内的二维码市场几乎全部被QR码占据, QR码专利既没有在国内申请,也没有放弃专利权;2015年QR码颁布了新的技术标准并开始收取专利费用,但国内市场仍在免费使用2000年的技术标准,随时可能产生严重的知识产权风险,甚至可能直接影响到经济社会运行安全。

我国二维码应用基本处于失控和无序状态。任何人都可以通过网络下载生成和解析二维码,并通过前台的手机进行实时解码,但没有后台对前台解析的内容进行识别和监控,给了不法分子利用技术漏洞,恶意篡改或植入木马等行为的可乘之机,开放式的市场应用模式导致了各种安全问题频发且难以有效监控,出了问题往往无法锁定责任主体。从恶意广告到金融诈骗,甚至包括敏感政治词汇、政治宣传,以及非法集会通知、谣言等,都能通过二维码在计算机网络和移动互联网快速、广泛传播。

其次,美国PDF417码是20世纪90年代初由美国Symbol公司发明的一种公开的技术标准,在多个国家广泛应用于身份识别、证件管理、物流运输乃至国防等领域,我国飞机登机牌二维码、部分快递单据二维码等都使用的是PDF417码。

这两个二维码标准和专利都不属于中国,虽然免费使用,但未来将面临两方面的风险:一是法律风险,当专利拥有者不再允许免费使用时,中国整个市场的二维码应用将处于非常尴尬的境地;二是经济风险,现在免费的专利终究有一天要获得回报,那中国市场的交费将是一个天文数字,这样的事情曾在计算机软件领域面临过,国际软件厂商只需要设立一个法律办公室就可以向所有机构和公司收费,不然中国又将是国际上侵犯知识产权的负面典型。

为了解决我国二维码的现实问题,中国物品编码中心组织研发了我国自主知识产权的二维码——“汉信码”,其具有汉字编码能力强、抗污损、抗畸变、纠错能力强等特性,获得多项国家专利,2011年9月已成为AIM(国际自动识别与移动技术协会)国际标准,2015年9月成为ISO国际标准项目。随着《商品二维码》国家标准的正式发布,保证了商品上应用二维码与全球统一编码标识系统的兼容性,同时实现了与二维码追溯、企业营销、线上线下互动等多种功能的结合,其出台和广泛应用,有利于降低企业成本,降低消费者扫描风险,解决相关应用碎片化问题,为二维码在我国的推广、管理和服务提供了指南,具有较强的科学性和实用性。我国二维码的“话语权”必将逐步提高。

二维码软件风险

二维码软件包括二维码解码软件和二维码应用软件。实际上,每一个二维码应用软件都嵌入了一个二维码解码软件。

二维码标准是开放的,任何有关公司甚至个人都可以开发解码软件,这些没有安全标准和安全认证的二维码解码软件被其他公司和个人采用生成二维码,扫码解析,或者嵌入到相关的应用软件之中,必然隐患无穷。在二维码解码软件、应用软件中,不排除有木马病毒盗取用户的机密信息,如用户名、密码,以及隐私或其他信息等,常见的扫码终端就是智能手机,用户完全无法掌握和了解自己使用的相关软件是否安全。即使专业的扫描识别,由于在设计时并没有考虑安全支付的问题,也无法保证信息安全。

二维码应用风险

即使二维码解码和应用软件是安全的,在无处不在的二维码应用中还会产生其他应用风险。这些风险包括网站的黑客入侵;在二维码中置入虚假的网站和信息引导用户;甚至偷换二维码盗取用户的支付等。

 

积极建立安全解决机制

二维码是一个跨学科、跨领域、跨行业的信息化应用工具,与国家网络信息安全、经济运行安全、公共安全和百姓生活息息相关,但随之而来的信息安全漏洞也给人们的财产安全带来巨大风险, 而相关管控却迟迟跟不上步伐,如果不能及时有效的并且系统性的堵住安全漏洞,将给国家,企业和个人带来无法估量的损失。

破解困局关键在于推广国家标准

目前我国共有5项二维码国家标准,除了日本QR码、美国PDF417码, 还有我国自主研发的汉信码、网格矩阵码(GM码)、紧密矩阵码(CM码)三项国产标准。QR码推广较早,应用范围也最为广泛,但QR码专用识读机具、标签生成设备等核心技术和生产能力都掌握在日本企业手中。

特别需要指出的是日本企业在我国大力推广QR码标准,已经获得了硬件设备的垄断地位。只有以自主知识产权二维码核心技术和相应的中国标准为基础的信息系统,才能将信息的“根服务器”建立在中国,从而在保障国家信息安全的同时避免国外标准带来的专利风险。
 我国自主研发的汉信码、GM码、CM码的标准能力、技术水平等都不低于国外标准, 只要建立更加开放的市场策略,完全具备替换QR码和PDF417码的技术标准能力和产业配套能力。但因国产标准缺乏政策扶持和驱动而迟迟不能有效使用,制约了我国自主二维码产业的发展,否则,未来市场的整体切换成本将是巨大的。

近几年随着国家物联网、智慧城市等应用系统的建设兴起,国家产业部门开始逐步重视二维码标准的建设工作,但在标准化的落实和应用方面,缺乏政策层面的措施和推动力度,对于目前出现的二维码信息安全问题也缺乏有效的监管指导和协调机制。这就需要国家层面加强顶层设计和应用规范,实现二维码技术自主、可控、安全,促进产业健康发展, 相关监管部门和行业组织建立起统一的安全标准,为用户营造一个安全的二维码使用环境。  

建立二维码软硬件产品认证机制
二维码的产业链包含了二维码标准、解码软件、应用软件、识读设备等,每个环节都需要确保是安全的,二维码的应用才能是安全的。免费开放的二维码标准和目前二维码应用的现状鱼龙混杂, 用户更多的是选择随大流(大众流行)或选择相信大的厂商,因此不可避免的会出现这样或那样的应用安全问题,这方面的案例不胜枚举。

要改变这样的现状,除了要推广国家标准外,在执行层面要有权威机构,比如纳入信息安全战略,上升为国家意志到“信息安全领导小组”,才能破除“九龙治水”的弊端,最终落实到对二维码产业链中的每一个企业和企业提供的产品和服务进行安全认证,并定期检查,

建立可信的白名单以及用户查询黑名单等等,这样实施了安全认证,才能引导用户和市场采用安全的二维码应用,减少受骗及漏洞风险。
•扫码软件厂商。在提供基于二维码的新应用时,要安全的设计和实现二维码识别后内容的解析引擎,对网址的识别可以集成第三方安全厂商提供的URL黑名单查询服务,对已知恶意网址提前向扫码用户告警,并取消点击交互行为的支持。
•用户要做到,一要选择知名的安全认证的二维码扫描软件,二要避免打开陌生和奇怪的网址。
•安全厂商集成的恶意网址识别引擎或提供云扫码,二维码里的数据,先在云端看看,不良内容先消毒。

健全法律建设及用户教育

把二维码应用的管理纳入法制轨道是非常急迫的市场需要,利用技术手段让每一个二维码的安全问题可追踪,可锁定违法者,让违法者知道法网恢恢,违法成本将非常高,同时加强用户教育,了解二维码应用过程中的潜在风险,不给二维码犯罪者以可乘之机。       

作者单位:中国自动识别技术协会

《中国自动识别技术》2017年第4期总第67期

延伸阅读:

声明:

    凡本网注明“来源:中国自动识别网、《中国自动识别技术》、《条码与信息系统》”的所有作品,版权均属于中国自动识别网、《中国自动识别技术》、《条码与信息系统》, 未经本网授权不得转载、摘编或利用其他方式使用上述作品。已经本网授权使用作品的,应在授权范围内使用,并注明“来源:中国自动识别网、《中国自动识别技术》或《条码与信息系统》”。违反上述声明者,本网将追究其相关法律责任。
    凡本网注明“来源:XXX(非中国自动识别网、《中国自动识别技术》、《条码与信息系统》)”的作品,均转载自其他媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。文章内容仅供参考。 如因作品内容、版权和其他问题需要同本网联系的,请将内容传真至010-84295675,以便本网尽快处理。

高端访谈 更多>>
威派格:智慧水务的“实战...
杨峰,上海威派格智慧水务股份有限公司董事副总经理、中国工业互联网联盟理事、中国水系统智能化联盟副理事长。
国产品牌的时代价值
庄华强,现任福建新大陆自动识别技术有限公司国内营销事业部副总经理。曾以主要工程师的身份参加“某金融业务网络化”...
标准前提下 创新零售物联
我查查信息技术(上海)有限公司(以下简称我查查)副总裁,负责产品追溯、彩虹码研发及推广等业务
信息联通 供应链“智慧”...
唯智信息技术(上海)股份有限公司总裁、创始人
杂志专区 更多>>

《2017第4期》

《2017第5期》