二維碼安全風險分析及其防護

張澄鋮

?

二維碼安全風險分析及其防護

張澄鋮

南京市氣象局，江蘇 南京 210019

隨著移動互聯網與移動智能終端的普及，二維碼產業發展迅速。通過掃描二維碼下載應用、獲取信息的方式已被眾多用戶所接受。但二維碼如被黑客用于不良企圖，由此引發的信息泄露、信息篡改、病毒等安全問題值得高度重視，并亟待解決。通過介紹二維碼的結構及編碼過程，分析了二維碼存在的安全隱患，并討論了安全防護策略。

二維碼；安全風險；加密算法

1 二維碼概述

二維碼是一項將數據符號信息記錄在某種特定幾何圖形中的條碼技術，通過圖像輸入設備或光電掃描設備自動識讀，從而實現信息自動處理[1]。QR二維碼（Quick Response code）是由日本豐田子公司Denso Wave于1994年發明并開始使用的一種矩陣二維碼符號。QR二維碼支持的信息類型非常豐富，包括文本、圖片、網址鏈接、音頻、視頻等。

1.1 二維碼結構

QR二維碼是由若干個黑白方形模塊排列組成的正方形矩陣，分為編碼區域和尋景圖案、校準圖案、定位圖案等功能圖案區域，深色模塊表示二進制“1”，淺色模塊表示二進制“0”，其符號規格根據編碼數據量自適應調整[2]。

1.2 二維碼編解碼過程

QR二維碼的編碼過程主要為分為以下六步，解碼則為其逆過程。

第一步：分析原始數據，確定數據類型，選擇編碼效率最高的編碼模式；

第二步：根據第一步得到的編碼模式，將數據字節轉換為二進制位流；

第三步：采用糾錯碼技術生成相應的糾錯碼，如果數據較大，首先對數據進行分塊，然后生成每個數據塊的糾錯碼，按照分塊順序合并作為最終的糾錯碼；

第四步：組合數據碼字和糾錯碼字，構成最終的數據碼字；

第五步：根據需求添加相應的版本、格式、定位等結構，并根據規則在矩陣中布置模塊；

第六步：使用不同的掩模圖形對編碼區進行掩模處理，評價掩模結果，選擇評估結果最好的進行掩模。

2 二維碼安全風險分析

二維碼發展潛力巨大，但同時也存在著制作發布缺乏監管、可被惡意利用傳播病毒木馬、易造成信息泄露、安全工具檢測能力較弱，以及二維碼內容監管困難等問題。

2.1 監管力度不夠

二維碼制作、掃描軟件已納入應用商店第三方應用監管范圍，但目前的監管力度與二維碼發展速度不匹配。目前發布的免費二維碼制作和掃描軟件達幾百種，任何組織或個人均可借助這些免費軟件制作和發布二維碼，若被不法分子利用，肆意傳播木馬病毒或發布不良信息，將嚴重威脅我國網絡與信息安全。

2.2 易成為木馬等病毒傳播新渠道

一些二維碼發布平臺對二維碼發布前后安全審核力度不足，制作源頭難以查找，給手機病毒、吸費軟件、釣魚網站等通過二維碼傳播創造了條件。不法分子將惡意軟件鏈接嵌入二維碼中，誘騙他人掃描，造成用戶被惡意耗費或被盜取網銀賬號，嚴重損害用戶利益。

2.3 掃碼軟件缺乏安全檢測能力

二維碼軟件與智能終端密切相關，其軟件安全性直接影響用戶智能終端安全。目前，多數二維碼掃描工具缺乏病毒木馬檢測能力和惡意網址識別能力，有些甚至被內置病毒，造成手機病毒借助二維碼制作和掃描軟件肆意傳播。

2.4 編碼方式存在信息泄露風險

市場常用二維碼碼制多為開源、通用碼制，任何安裝二維碼掃描軟件的終端均可讀取，加之大量用戶的信息保護意識不強，若在公共服務等應用中使用開源二維碼制和明文編碼，存在較大的信息泄露風險。火車票實名制實施初期票面二維碼采用明文編碼，曾被不法分子利用來收集旅客姓名、身份證等隱私信息，后經特殊碼制加密處理才得到有效遏制。

2.5 易成為違法信息傳播新方式

隨著二維碼的普及，論壇、微博、網站中逐漸出現二維碼信息載體形式，二維碼具有承載內容不直接可見特征，一旦被用作敏感、違法信息傳播渠道，在一定程度可規避現行信息內容監測過濾技術手段，大大增加了違法信息傳播擴散的風險[1]。

2.6 易成為金融詐騙新手段

隨著移動支付的發展，越來越多的用戶開始使用二維碼支付，這種只需掃描二維碼就可完成全部支付流程的付款方式，極大地方便了消費者和商家。但由于多數二維碼掃描工具缺乏病毒木馬檢測能力和惡意網址識別能力，使二維碼支付成為了感染高危手機支付類病毒的染毒渠道。用戶在支付過程中的個人消費信息及資金賬戶安全受到了嚴重的威脅。

3 二維碼安全防護策略

3.1 改進編解碼方式

針對QR二維碼偽造的問題，可使用常用的加密方法和消息鑒別碼的方法，即在原有的二維碼編解碼時加入加密和解密的環節。以非對稱加密為例，將加密后的信息使用QR編碼器編碼，將生成后的二維碼和公鑰刊登在印刷品上，用戶掃描QR二維碼時輸入公鑰，若能解碼得到正確可讀的信息，則說明掃描的QR二維碼來源可靠。非對稱加密方式不僅能夠抵抗惡意攻擊，還能夠抵抗大部分針對QR二維碼的篡改行為。另一種簡化方式是采用哈希值，在解碼階段解碼器將解密哈希值并比對是否與原QR二維碼信息匹配。而防范QR二維碼個人信息泄露可采用對稱加密的方法，加密后的QR二維碼只有特定的密鑰持有人才能正常解碼，其他人均無法讀取。

3.2 納入統一管理

當前QR二維碼在編碼階段缺乏統一的編碼標準，在使用階段也缺少統一管理，導致QR二維碼市場的混亂。引入第三方管理、認證機制能有助于減少QR二維碼攜帶的惡意網址和虛假信息。同時，提供認證機制，可以增加其來源的可靠性。

3.3 增強用戶防護意識

提高用戶對二維碼中病毒的防范意識，加強自身信息保護意識，掃描前先確定二維碼來源是否權威可信，最好提前使用提供惡意二維碼掃描識別功能的安全軟件驗證二維碼是否已經被病毒編寫者利用。此外，在需要用戶輸入賬號密碼等個人信息時，對手機的軟件、鏈接網絡等環境進行安全檢查，保護個人賬號安全。從正規渠道下載APP，對他人發來的APP、鏈接和二維碼不要隨便掃描、點擊和安裝[2]。

[1]孟楠，韓佳琳，賀曉能，張振濤.二維碼安全問題分析及應對策略[J].現代電信技，2014（8）：96.

[2]國家質量技術監督局．快速響應矩陣碼：GB/T 18284－2000[S]．北京：中國標準出版社，2000．

Security Risk Analysis and Protection of Two-Dimensional Code

Zhang Chengcheng

Nanjing Meteorological Bureau，Jiangsu Nanjing 210019

With the popularity of mobile Internet and mobile intelligent terminals, two-dimensional code industry has developed rapidly, by scanning two-dimensional code to download applications, access to information has been accepted by many users. But the two-dimensional code by hackers used for bad intentions, the resulting information disclosure, information tampering, viruses and other security issues deserve great attention, and to be resolved. This paper introduces the structure and coding process of two-dimensional code, analyzes the hidden dangers of two-dimensional code, and discusses the security protection strategy.

two-dimensional code; security risk; encryption algorithm

TP391.44

A

1009-6434（2016）10-0031-02