MCPLive > 杂志文章 > 二维码 安全?还是不安全?

二维码 安全?还是不安全?

2014-05-21张翰 刘斌《微型计算机》2014年4月下

如今,二维码已经迅速占领了我们的生活,手机下载APP、查看打折信息,甚至在一些餐厅,Wi-Fi密码的提供也是由二维码来完成的,而用户要做的只是动动手扫一扫。不过在我们扫描这个外观看似有点高科技的“图章”时,你是否会意识到它的风险性?在今年的“3·15”晚会上,“网银神偷”被央视曝光。据报道,这些不法分子利用病毒二维码攻击受害者手机系统,截获受害者的支付验证短信进而盗取网银。我们不禁要问,病毒二维码是怎么进入到受害者手机的呢?

二维码 安全?还是不安全?

3月13日,中国人民银行下发紧急文件暂停了所有条码支付方式,理由是其背后存在安全隐患。由此,由二维码安全问题引发的激烈讨论便揭开了帷幕,央行为何紧急叫停二维码?二维码难道真的不安全吗?

二维码被叫停为哪般?

央行这次紧急叫停二维码支付,在通知中表示的原因是安全问题。诚然,二维码整个使用过程的确存在一些安全隐患,但部分业内人士认为,二维码支付没有通过银联的渠道,有可能是央行这次叫停二维码的原因之一。传统的支付方式都通过银联渠道进行,比如使用POS机刷卡,银联会收取一定的手续费。但是互联网企业的二维码支付,由于不需要银联本身加入,因此也就谈不上收费的问题。实际上对于腾讯、阿里巴巴这样的大型互联网集团来说,在二维码的安全和推广方面做出了很多的努力,比如目前阿里巴巴就在和超过1.5万家便利店合作推广二维码支付,整个二维码支付的市场大、发展速度快,业内人士估计如果没有央行出面叫停,二维码支付设备很可能很快超过100万台,这对银联的刷卡机形成了现实的竞争和威胁。

当然,除了阿里巴巴和腾讯这样的互联网集团在推广二维码支付外,一些银行也在推广自己的二维码支付,这次都被央行一并叫停了。这一方面的原因被认为是,二维码支付虽然已经向银监会报备,但未向央行报备。央行喊停的逻辑是:按照监管原则,商业银行、支付机构在推出创新产品与服务、与境外机构合作开展跨境支付业务时,应至少提前30日报备业务。显然,阿里巴巴和腾讯都未遵守这一规定。

央行支付结算司相关负责人于3月24日接受媒体专访时表示了央行的态度:“(二维码技术)应用于金融行业,特别是在支付行业,应该还是一个新生的事物,不管国内和国外,目前总体上来讲,都处于一种试点的状态,还是存在着比较大的安全隐患的。”

为何会以安全为由叫停?

如果仅以竞争关系来判断二维码叫停事件,恐怕独木难支。俗话说“苍蝇不叮无缝的蛋”,虽然二维码发展的到现在成为支付手段,但在技术和应用上面也必然存在一些问题或者隐患,要不然央行此举何以服众呢?

简单地说,二维码就是一个传递信息的工具,可以把它比作一辆运货的卡车,不同的二维码就是不同功能的运货卡车。那么卡车本身有没有安全问题呢?从二维码的原理来讲,其本身是安全的,主要是它有一个校验机制,二维码本身没有任何价值,它内部承载的信息与客户终端是对应的,不然即使看了也没用。

在国外二维码已经被用在ID卡上,存储个人信息。
在国外二维码已经被用在ID卡上,存储个人信息。

真正的安全问题普遍是在扫描二维码,并获取二维码信息的过程中产生的。例如央视“3·15”晚会所曝光的案例中,受害者多是使用手机扫描到了暗藏恶意代码的二维码。另外据央行支付结算司副司长周金黄介表示,在此前接到的消费者投诉中,有些用户就是在二维码的支付过程中,出现了信息和资金被盗的问题。虽然二维码本身的安全性很高,但是作为一种开源技术,它的入门门槛很低,简单的二维码制作几乎可以忽略成本。在搜索中输入“二维码制作”,就能够查询到多种二维码生成软件。此外笔者曾试着加了几个二维码QQ群,还没咨询到二维码的相关信息,就有多家小商家主动私聊,询问是否需要制作二维码,而且可以根据要求定制,比如外观等。这不能不让人担忧它的安全性,因为不法分子很容易制作它们。北京邮电大学信息安全博士黄玮就曾表示,“二维码支付目前并没有标准化的产品设计,每个二维码支付的方案设计都是自家的,所以无法一概而论二维码支付的设计是否安全。”除了制作门槛低之外,二维码的危害实际上拥有更强的隐蔽性。由于我们所看到的二维码都是一个复杂的矩阵图案,单纯用肉眼可以说很难分辨不同二维码之间的区别,里面包含有什么信息就更无从知晓。扫描到恶意二维码之后通常会诱导用户进入钓鱼网站,诈骗钱财,甚至能够自动下载恶意软件,在后台窃取用户私人信息。对于用户来讲,因为本身扫描二维码的目的就是想看看有什么东西,所以防范意识并不会太高。

央行认为二维码支付存在一定的安全漏洞,因此暂停了所有的二维码支付方式。实际上以BAT为首的互联网企业本身就具备很强的网络安全抗风险性,诸如支付宝这样的软件,二维码信息的展示和检测全部都掌握在支付宝手中,所以安全问题并不需要担心。除了一些知名网站和产品官方网站出示的二维码可信度比较高之外,一些小网站、路边二维码随机扫描的信息则有可能危害用户安全。所以,没事干好不要拿着手机到处扫二维码。

二维码的“速度”

尽管二维码叫停风波声势浩大,二维码本身也存在缺陷,但大部分业内人士对二维码的发展依然看好。我们来回顾一下二维码的发展历程,去年,在拥有3亿多用户的微信推动下,二维码应用迅速被国人熟知,新浪微博紧随其后在去年的9月24号,宣布正式上线二维码功能,支付宝、大众点评网等也相继开通二维码服务。之后,灵动快拍、上海翼码等二维码相关企业也加速二维码市场布局。互联网巨头相继入局,二维码业界不亢奋都不行。有支持者称,“二维码成熟产业的价值可与搜索引擎比肩,三年内二维码将会撬动千亿元级市场。”比如目前火热的O2O模式,包括支付、获得优惠信息、比价等都可以通过二维码轻松实现。腾讯董事会主席兼CEO马化腾就曾对外表示,“移动互联网的地理位置信息,带来了一个崭新的机遇,这个机遇就是O2O,二维码则是线上和线下的关键入口。通过使用手机终端扫描线上的条码,可以方便快捷地将线上内容和线下连接在一起。”云移公司总裁、微POS发明人宿凯则认为,移动支付作为一种更加便捷的支付手段,必将打败现金支付和刷卡支付。货币的本质就是一段能够被识别的信息,移动支付能大程度减少流动的成本,给用户和商家带来互赢。针对目前的二维码安全问题,他认为在面对各种可能存在的不安全行为如病毒二维码等潜在风险的时候,首先要做的是从制度上进行规范,或者从技术如白名单准入等多方面完善。

目前不安全的二维码可能诱导用户进入钓鱼网站或下载APK文件,图为某二维码识别出的网址。
目前不安全的二维码可能诱导用户进入钓鱼网站或下载APK文件,图为某二维码识别出的网址。

O2O已经成为互联网巨头争夺的新一个领地,二维码是线下流量的重要来源。
O2O已经成为互联网巨头争夺的新一个领地,二维码是线下流量的重要来源。

对于央行来说,这类小额但对老百姓影响较大的创新业务,在未全面了解并掌握之前,叫停并没有过火之处,要求第三方机构提交相关文件等措施从另一方面讲也体现了保障用户信息安全的职责。也有人认为,一个新生事物,本身就存在缺陷和隐患,越是约束其发展,越是难以发现问题。只有边实践、边发展,才能更好的推广诸如二维码支付这样的产品的进一步成熟。无论如何,央行对二维码支付以及类似的O2O支付手段尚在评估和调查,未来的进一步发展还得等待央行的新通知。

从目前的发展形势来看,二维码确实有着不可估量的前途。不过谨慎观察者,也给出了他们的一些建议。此次叫停事件的相关银行人士表示,目前二维码只是一个好看不好用的噱头创新产品,安全问题姑且不说,看似操作简单的二维码实际操作并不简单。因为手机本身不具备扫码功能,所以首先必须安装扫码软件,接着至少需要完成扫码、点击链接、密码输入几个步骤,和目前的刷卡或者NFC相比并无优势。在他们看来,目前的二维码市场正处于一个十字路口,互联网金融作为一种跨界概念,本身兼顾了互联网和金融的特点,它的创新性值得鼓励,过度打压毕竟不可取,而另一面对传统金融又存在冲击,不规范的话又恐造成危害,从目前的政策也可以看出摇摆的态势。“大难题在于互联网金融的属性不清和界限模糊,互联网企业本身不是金融机构,有些创新只是坐导流入口,而非金融机构监管部门又没有借口去管。”上述银行人士表示。

如果二维码的前景果真如画的饼一般大,同时又可以规避冲突和缺陷,当然无话可说,不过二维码的应用也存在一些我们忽略的因素。从目前的情况,二维码更多的是扮演着招揽生意的角色,虽然大街小巷满是二维码,但实际上真正使用的人并不多,根据迈点旅游研究院对二维码使用情况的一份报告显示,在流动频繁的酒店人中经常使用二维码的只占到了10%,偶尔或者很少使用的分别占了3 8%和35%,从不使用的占到了17%。不过对二维码应用所持的观点中,56%的人表示支持,会使用,33%的人则表示等待市场反应。总的来说,二维码市场想要发展成熟,还需要一段时间。在尚未出现大规模应用且成熟的商业模式之前,参与者们多处于探索阶段。银河传媒总裁沈维表示,“市场的认可并不是特别快,因为一项新技术的导入确实需要时间,条形码都导入了十年的时间,所以所有在这里玩的人大家都认为这是拼耐力的领域,但是现在我们已经真正看到了曙光。”

扫描二维码购物过程。
扫描二维码购物过程。

编辑点评:

二维码是一种非常有潜力的信息传递手段,不过目前它的安全性确实存在一些问题。特别是在它的使用过程中,很容易扫描到恶意二维码。不过发展伴随着变化,二维码的缺点也促成了二维码安全这一个新兴市场的兴起,目前部分手机安全软件开始推广二维码安全检查功能,通过虚拟机、云检测等手段,帮助用户判断二维码的是否安全可靠,是否有危害。一些互联网公司也在监测二维码本身的安全性是否可靠,也在进一步发展二维码安全支付等新的内容。

总的来说,对二维码这个新兴事物而言,有缺点是理所应当的,但是它的未来发展也是非常看好的。毕竟移动互联时代,人们总需要一种更方便、更快捷和更安全的手段来获取和使用信息资源。相信二维码产业在接下来的发展中,会努力让其完善,成为便捷的信息传递和支付的工具。

 

分享到:

用户评论

用户名:

密码: