识别图中二维码有安全隐患吗(二维码到底是什么)
来源:华商网-华商报
如今,人们的生活已经离不开二维码。购物要扫码,骑车要扫码,搭乘地铁公交要扫码,发送快递要扫码,甚至用一张免费纸巾也要扫码……那么,二维码到底是什么?
实验:文字、图片、音视频等都可生成二维码
记者注意到,网上有专门做二维码生成业务的企业。在一家企业的网站上,就可以直接生成二维码。文本、网址、文件、图片、音视频、名片等都可以生成二维码。
10月22日,记者试着把一首唐诗输入信息框,然后点击生成二维码,很快便生成了二维码图片。把这个二维码传给同事,同事很快便用手机识别出这是一首唐诗。接下来,记者又试着把一个gif格式的动图、一段音频、一个word文件都分别做成了二维码,传给同事后,也都在手机识别之后看到了相应的不同格式的信息。
记者联系了这家位于浙江的网络科技公司。该公司工作人员介绍,二维码可以分为静态码和活码两类。“静态码是完全通过图案来编码,黑白小方块分别代表二进制数字1和0。输入文字等信息后,直接把它变成一个二维码图案,一旦生成不能修改,即便离线也能用。活码不是直接把内容生成二维码,而是把内容保存在一个网页上,把网页的链接生成二维码。所以,活码对应的内容可以更改。也就是说,静态码的信息内容就在图案里,而活码的网页链接内容是上传到网络服务器上了。”
“由于静态码是直接把信息内容进行编码的,信息越多,黑白块就越密,就越不容易识别。受手机识别能力的限制,一个静态二维码的信息量最多为150个字,再多了黑白块太密,手机识别起来就不是很方便了。所以,现在很少有人用静态码,90%都是活码。一般都是直接把内容上传到网上,然后把链接生成二维码,这样做出来的二维码也更好看一些。”
那么把使用这家网站生成的几个二维码解码之后,又会得到什么信息?华商报记者分别把生成的文字、图片、音频、名片、文件等二维码,利用这个网站的二维码解码功能一一进行了解码,结果发现只有唐诗解码出来的直接是文字,其他的全都是网页链接。而从外观来看,唐诗二维码的黑白块明显要比其他几个二维码要密。
“二维码若藏毒,从外观上很难判断”
据媒体报道,一些二维码可能藏毒,一旦扫描可能带来财产等损失,或者导致手机被植入病毒。那么,二维码是怎样把病毒程序写入手机的?
浙江的这家网络科技公司工作人员表示,二维码通常只是一个跳转的工具,如果有人是在自己的网页里放了病毒,然后让人扫码下载病毒,从二维码的外观是看不来的。对二维码的解码,也只能解析到网址,至于网页里面是什么就很难判断了。“对于用可疑网址生成二维码,我们也是不做的。若‘活码’有违规内容被我们检出的,我们也会立即进行处理。”
西安电子科技大学网络与信息安全学院杨超教授表示:“二维码本质就是一串数字,在不同的程序里面代表不同的意义。第一种情况,比如用微信扫一个收款二维码,微信已经提前把这段数据提前写到其数据库里,只要有人扫描这个二维码,就代表要给这个账户付钱。第二种情况,用微信或支付宝扫描后提醒要下载程序或者小程序,这时二维码就代表了要下载程序的网址和名字。二维码就是一种媒介,通过它来实现下载程序、支付功能、宣传广告、传递信息,或者关注公众号等目的。也就说,二维码通常只是形式,内容是什么看其所指向的网络后台。”
“至于二维码藏毒,可能会有两种情况,第一种是通过二维码从互联网下载了一个病毒,第二种是二维码图形所包含的这些信息本身就是病毒。所以,不要扫不知道情况的二维码。如果扫了之后没法核对是不是骗局最好放弃,改为线下途径来解决。平时扫码要注意从可信渠道获得二维码,还要注意分清楚到底是付款码还是收款码。另外,要特别重视手机、电脑系统给出的警告。”
提醒:用手机扫二维码,要防止被套取个人信息
西安四叶草信息技术有限公司安全研究员余俊峰介绍,最常见的扫描二维码的情况,一是扫码支付,二是关注公众号。扫码支付前一般会生成一个订单,订单里面会有用户ID,但敏感的个人信息基本不涉及。至于关注微信公众号,后台可以获取的个人信息也很少,个人敏感信息也基本不涉及。比如订阅号后台一般只能看到用户的头像、昵称。即便是在用户分析里,也只能看到用户都分布在哪些城市、性别占比等统计信息。
但据曾专门给企业做微信公号的小马介绍,一些公号经营者会通过赠送小礼品以及其他利益引诱形式,吸引用户关注以增加粉丝量。还有的会通过精心设置的套路来套取用户个人信息。比如赠送小礼品或给一些优惠来吸引办理会员卡,以趣味测试为名要求填写一些个人信息,以网络调查为名要求配合填写一些貌似并不重要的个人信息等等。至于商家在获取到这些个人信息后会如何使用,那就不好说了。
腾讯公司工作人员表示,对于微信小程序,腾讯一直通过相关服务协议和平台规则要求开发者对用户隐私安全进行保护。比如在需要用户授权隐私数据信息的服务场景中,要求开发者在小程序前端界面必须向用户提示“授权使用信息”,用户也可以自行在该小程序主页的“设置”撤销相关信息的授权。若用户认为开发者未遵守规定或存在其他侵害用户隐私或数据的情况,可以进行投诉。近期,微信还对用户登录授权环节进行了优化,用户可以选择在授权环节不展示真实昵称和头像,在不影响小程序业务的正常运作下,让用户授权昵称、头像的心理压力降到最低。“但有一点需要用户注意,那就是自己要有个人信息保护意识。如果人家让填啥就填啥,造成个人信息泄露,这就要从自己身上找找原因了。”
,免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com