近日,中(zhong)國消(xiao)費(fei)(fei)者協(xie)會提醒公(gong)眾,借(jie)助二(er)維(wei)碼傳播惡意網(wang)址(zhi)、發布手(shou)機病毒(du)等不法活動開始增多(duo)。不少消(xiao)費(fei)(fei)者在通過(guo)掃描二(er)維(wei)碼參加團購時,由于(yu)二(er)維(wei)碼中(zho�������ng)含有(you)手(shou)機病毒(du),導致(zhi)手(shou)機中(zhong)毒(du),話費������(fei)(fei)被扣。奇虎(hu)360公(gong)司的(de)統計顯示,目前23%的(de)手(shou)機木馬及惡意廣(guang)告插(cha)件(jian),通過(guo)偽裝成二(er)維(wei)碼的(de)方式傳播。
作為物聯網的一項重要技術,二維碼是如何攜帶病毒的?是否應當由特定部門對二維碼內容進行監管,又如何監管?二維碼的安全風險是否會對物聯網發展造成不利影響?
“黑客會將惡意網址或包含手機木馬的下載鏈接直接生成二維碼,放置在網頁、印刷品中傳播,掃描后可自動訪問或開始下載,下載安裝到用戶手機后,聯網接收黑客下發的控制指令,根據指令開始下載軟件、上傳用戶隱私或直接外發短信進行惡意扣費。”奇虎360公司技術人員在接受《中國科學報》采訪時說。
北京靈動快(kuai)拍信息技(ji)術有(you)限公司首席執行�����官王鵬飛認(ren)為(wei),面對(dui)二維碼潛(qian)藏的風險,公眾更應謹慎(shen)掃(sao)碼。
“首先,要(yao)(yao)看(kan)掃(sao)碼(ma)軟件是(shi)否具有安(an)全檢測功能(neng)(neng)。其(qi)(qi)次,要(yao)(yao)養成良好的(de)(de)二(er)(er)(er)(er)維(wei)(wei)(wei)碼(ma)使用習慣,對來歷不(bu)(bu)(bu)明的(de)(de)二(er)(er)(er)(er)維(wei)(wei)(wei)碼(ma),特別(bie)是(shi)路邊(bian)廣(guang)(guang)告(gao)、電梯(ti)內廣(guang)(guang)告(gao)、廣(guang)(guang)告(gao)宣(xuan)傳單、不(bu)(bu)(bu)明網(wang)站的(de)(de)二(er)(er)(er)(er)維(wei)(wei)(wei)碼(ma),不(bu)(bu)(bu)要(yao)(yao)盲目掃(sao)描。再者,用手機二(er)(er)(er)(er)維(wei)(wei)(wei)碼(ma)在線購物(wu)、支(zhi)付更要(yao)(yao)謹慎。”“從本(ben)質(zhi)上看(kan),二(er)(er)(er)(er)維(wei)(wei)(wei)碼(ma)其(qi)(qi)實就(jiu)(jiu)是(shi)一個(ge)存儲(chu)工具,和光(guang)盤(pan)、磁盤(pan)、U盤(pan)沒(mei)有太大的(de)(de)區別(bie),只不(bu)(bu)(bu)過存儲(chu)方式有所不(bu)(bu)(bu)同。”中國電子商(shang)會物(wu)聯網(wang)專(zhuan)業委員會二(er)(er)(er)(er)維(wei)(wei)(wei)碼(ma)專(zhuan)項工作組(zu)主任張超表示,二(er)(er)(er)(er)維(wei)(wei)(wei)碼(ma)具有“入口(kou)”、“身(shen)份證”、“票證”等(deng)功能(neng)(neng),二(er)(er)(er)(er)維(wei)(wei)(wei)碼(ma)可以(yi)作為(wei)上網(wang)的(de)(de)“入口(kou)”,掃(sao)碼(ma)后就(jiu)(jiu)會連接到(dao)網(wang)絡獲取內容信息;作為(wei)“身(shen)份證”的(de)(de)二(er)(er)(er)(er)維(wei)(wei)(wei)碼(ma)具有唯一性,多用于管(guan)理應(ying)用,如防偽(wei)、追(zhui)溯等(deng);作為(wei)“票證”的(de)(de)二(er)(er)(er)(er)維(wei)(wei)(w������ei)碼(ma)則大多應(ying)用于線下電子商(s������hang)務(wu)之中,如消(xiao)費購物(wu)憑(ping)證等(deng)。
“存在安全風險(xian)不是(shi)因為二維(wei)碼(ma)技術本(ben)身存在問題,而是(shi)因為"用不好"。”張超認為,規范化生成和掃描,是(shi)避免二維(wei)碼(ma)安全風險(xian�������)的關(guan)鍵。
目前(qian),網絡上(shang)有不少二維(wei)(wei)(wei)碼(ma)(ma)(ma)生成軟件,公(gong)眾可以自行生成二維(wei)(wei)(wei)碼(ma)(ma)(ma),為(wei)二維(wei)(wei)(wei)碼(ma)(ma)(ma)內容的監管(guan)和規范化帶來了難度(du)。對此(ci),張超(chao)認為(wei),監管(guan�����)個人(ren)的二維(wei)(wei)(wei)碼(ma)(ma�����)(ma)生成行為(wei)存在難度(du),但對行業(ye)(ye)、企業(ye)(ye)等公(gong)共二維(wei)(wei)(wei)碼(ma)(ma)(ma)內容的監管(guan)和規范實則不難。
“從技術層面完全可以實現。”張超說,二維碼的內容監管就是要找到生成和發布二維碼的源頭,即找到生成二維碼的“IP地址”。但由于二維碼在國內剛剛興起,問題也剛剛暴露,沒有引起管理部門的重視,也沒有采取這樣的監管手段。
張超表示,二維碼內容的(de)安全(quan)風險和(he)監管(guan)空白(bai),將會(hui)對個人應用產(chan)�����生一(yi)定影(ying)響,如降(jiang)低用戶掃(sao)碼率和(he)參與度(du)等,但并不會(hui)對注重行(xing)業應用的(de)物聯網發展造成(cheng)影(ying)響。
“物聯網的發展需要有統一的規范。二維碼專項工作組正在進行二維碼統一編碼和解析標準的制定工作,成立了國家i-OID注冊中心和國家二維碼解析中心,以推動二維碼行業規范化發展。”張超說。
據張超介(jie)紹(shao),今(jin)年4月(yue������),國家二維碼(ma)(ma)(ma)注冊平(ping)臺(tai)、解析(xi)平(ping)臺(tai)將對外(wai)開(kai)放,為二維碼(ma)(ma)(ma)應用的提(ti)供(gong)者和使(shi)用者提(ti)供(gong)公共(gong)服務。平(ping)臺(tai)基于對象(xiang)標識體系(OID體系)建設全國統(tong)(tong)一(yi)的“二維碼(ma)(ma)(ma)身(shen�����)份(fen)證(zheng)”體系(簡稱(cheng)i-OID),形成(cheng)“統(tong)(tong)一(yi)編碼(ma)(ma)(ma)體系、統(tong)(tong)一(yi)行業規范、統(tong)(tong)一(yi)應用標準、統(tong)(tong)一(yi)解析(xi)體系”,由注冊平(ping)臺(tai)統(tong)(tong)一(yi)生(sheng)成(cheng)二維碼(ma)(ma)(ma),解析(xi)平(ping)臺(tai)進行基礎(chu)解析(xi),假如(ru)二維碼(ma)(ma)(ma)鏈接(jie)到非法網站,解析(xi)平(ping)臺(tai)會直接(jie)屏蔽網站,使(shi)二維碼(ma)(ma)(ma)無法連接(jie)。
