日前，多家媒體報道了《中國二維碼應用被國外標準壟斷 信息安全問題頻發》一文。文中指出，二維碼信息安全問題頻發很大程度上是因為國外標準壟斷二維碼市場應用失控所導致的，破局的關鍵在于推廣國內企業自主研發的二維碼標準。那么，二維碼信息安全問題頻發，真的是日本QR碼標準惹的禍？破解的關鍵真的在于推廣自主研發的二維碼標準？

資料圖

　　本質上還是網頁詐騙

　　二維條碼/二維碼（2-dimensional bar code）是用某種特定的幾何圖形按一定規律在平面（二維方向上）分布的黑白相間的圖形記錄數據符號信息的；在代碼編制上巧妙地利用構成計算機內部邏輯基礎的“0”、“1”比特流的概念，使用若干個與二進制相對應的幾何形體來表示文字數值信息，通過圖象輸入設備或光電掃描設備自動識讀以實現信息自動處理。

　　絕大多數二維碼，實際上就是一個網址，由于大家用手機打網址會很累很麻煩，而二維碼作為一種標準，手機掃描一下，就等同于輸入網址了。所以，訪問網頁存在的所有問題，在二維碼上都會存在。任何網址都可以做成二維碼，自然也包括詐騙網站，這和到底采用日本QR碼標準，還是美國PDF417碼關系不大——任何詐騙網址，都可以成為騙人的二維碼，并且是符合國際標準的。唯一不同點在于，由于XX認證或XXX認證等標識，一些網址在電腦上直接可以看出來是不是合法網站，而二維碼則沒有這些認證，就不是一眼所能看出來的了。

　　在《中國二維碼應用被國外標準壟斷 信息安全問題頻發》一文中，舉了幾個因二維碼而受騙上當的例子，比如“張女士被店主誘導她掃了一個二維碼，在被要求輸入身份證號和銀行卡號后，店主又索取了手機驗證碼，導致銀行卡內數千元現金被盜走……網店賣家發給張女士的二維碼，背后鏈接的是一個釣魚網站……”

　　再比如該文中介紹：廣州惠州、深圳，青海西寧，山東青島等多地都出現了不法分子打著交警執法的幌子，冒充交警法律文書來行騙。車上被貼的“罰單”上，印有二維碼快速繳費通道。掃描二維碼后，會進入支付轉賬頁面，誘導車主轉賬繳納“違章罰款”。

　　從文章的介紹中可以看出，二維碼只是充當了一個網站鏈接入口的角色，并非騙走受害人金錢的“真兇”，如果不是網絡店主索取了張女士的身份證號、銀行卡號和手機驗證碼，單憑掃一下二維碼，網絡店主也沒有盜走張女士銀行卡內數千元現金的能力。同樣，車上貼著罰單的二維碼，也是引導受害人進入支付轉賬頁面，誘導車主轉賬繳納“違章罰款”，真正使受害人金錢造成損失的，是掃了二維碼后進入轉賬頁面的轉賬行為，二維碼在此僅僅是充當一個網絡鏈接入口的角色。

　　因此，文中所指出的因二維碼受騙的例子，本質上都還是網絡詐騙，無非用了二維碼成為詐騙網站的入口。即便沒有二維碼做入口，這類網絡詐騙也會通過另一種方式存在，詐騙者騙術越來越高明，以及受害人缺乏警惕性，都是這種詐騙得以存在的原因之一，將責任全部推給因為二維碼采用的日本QR碼標準，恐怕并不是非常妥當。

　　二維碼確實存在安全風險

　　雖然之前提到的文章中詐騙案例不能將責任全部推給采用了日本QR碼標準，但現在廣泛使用的二維碼存在安全風險卻是事實。由于日本方面為了達到市場壟斷目的，QR碼采取了所謂的全市場免費開放策略，任何人都可以通過網絡下載生成和解析二維碼，這導致二維碼不存在技術門檻，不法分子只要在二維碼生成器中置入病毒、木馬程序、扣費軟件等的下載地址，立即就能生成二維碼圖片，基本可以實現一分鐘制碼。因此，我國二維碼應用基本處于失控和無序狀態，其中的風險可想而知。

　　另外，各種手機病毒橫行也加大了二維碼的風險，某些手機病毒借助二維碼生成器、二維碼掃描工具瘋狂傳播——一旦安裝了這些軟件，手機就會自動聯網下載某些軟件，并在用戶不知情的情況下自動安裝。更可怕的是，不法分子還頻頻利用二維碼傳播手機木馬，讓手機反復下載某些特定軟件實現惡意吸費，甚至通過木馬實現對手機中私人信息的獲取，完成盜取用戶錢財。

　　根據某從事殺毒軟件開發的互聯網公司統計：目前23%的手機木馬及惡意廣告插件，都通過偽裝成二維碼的方式傳播。病毒中包括大量商用間諜軟件，通?？蓪崿F轉發短信、電話錄音、環境錄音、相冊照片上傳等功能，這將嚴重侵害手機用戶的隱私和個人財產安全。

　　另外，部分手機用戶缺乏安全意識和手機不良使用習慣本身就是安全隱患——在二維碼已經深入老百姓生活的情況下，在不了解二維碼編碼原理和編碼背后的發布者的情況下，一些用戶常常見碼就掃，過于隨意的掃描二維碼很容易陷入不法分子的圈套。

日前，云南破獲首起“偽造二維碼停車罰單”案， 涉事男子被刑拘

　　是否有經濟實惠的提升QR碼安全性的方法

　　經過多年的發展，日本QR碼已經成為潮流，而且因為之前提到的為了達到市場壟斷目的，QR碼采取了所謂的全市場免費開放策略，使任何人都可以通過網絡下載生成和解析二維碼，并通過前臺的手機進行實時解碼。與此同時，沒有后臺對前臺解析的內容進行識別和監控，出了問題往往無法鎖定責任主體。

　　那么，如果在QR碼基礎上增加安全機制，對二維碼進行認證具有可行性么？

　　據業內人士分析，QR碼出道較早，而且當時為了方便推廣，更多考慮了通用和方便，沒有給安全機制留下充足的空間，而且后續標準必須向前兼容，這就會增加在標準中添加安全機制的難度。而且二維碼承載信息量非常有限，根本無法做安全審計——理論上，二維碼信息里面，只需要加上發布人以及其證書簽名，那么手機掃描的時候就能夠驗證這些信息是否真的是官方發布，這樣子就可以避免很多偽造欺騙。但是，問題在于，現行的二維碼一般只能夠存儲幾十個字符，最多也就300個，壓根就放不下數字簽名。

　　另外，建立一個二維碼數據中心，進行安全審計在經濟上和成本上也非常不現實，而且也會帶來一些不方便。誠然，通過建設二維碼數據中心，任何人生產的二維碼，都要到中心申請一個編碼，然后手機掃描的時候，再去中心查詢一下這個編碼是哪個主體發布的。

　　這種做法確實可以提升安全性。但在操作便捷上卻略顯不足，無法實現離線處理，手機沒網絡的話就掃不了碼了。

　　更關鍵的是經濟上的成本，如果提供安全認證服務，這筆錢由誰來出——工程師的人力成本、后臺服務器成本、服務器和辦公用房的場租成本、以及水電成本等等。據消息人士披露，某門戶網站每年在刪除博客、刪除網站評論，以及大V發博客的審查上的審計成本都突破2億元了……

責任編輯：韓希宇