手机二维码的安全问题研究

◆李璟莹

（中国人民公安大学网络安全保卫学院 北京 102600）

手机二维码的安全问题研究

◆李璟莹

（中国人民公安大学网络安全保卫学院 北京 102600）

随着智能手机的普及，以二维码为媒介的移动服务，开始广泛融入人们的生活。但二维码在给生活带来便捷的同时，也存在诸多安全隐患。本文首先分析了手机二维码的主要应用模式，归纳了实际应用中存在的安全问题，并给出了相应的防治策略。

二维码；安全；防治

0 引言

二维码，从一维码演变而来，是一种按一定规律在平面上分布的黑白相间的图形[1]。二维码具备便捷、准确、容量大等诸多优点，自中国1993年开始研究起，二维码就得到了快速发展。据工信部2016年2月最新统计，全国移动用户数量已达12.8亿，可以说与手机和移动互联网的融合，进一步扩宽了二维码的应用广度。

在二维码得到快速发展的同时，许多问题也不断涌现出来，借助手机二维码进行传播的移动应用恶意行为屡现不止，包括恶意扣费、山寨应用、隐私窃取、远程控制、系统破坏等，二维码成为了一种新型的犯罪工具，如何解决手机二维码的安全问题成为人们关注的新焦点。

1 手机二维码的应用

二维码在公共交通、企业营销、物流管理、食品追溯等传统行业已得到了广泛应用，最热门的是二维码与OTO模式的结合，借助移动互联网这一存储、传播、处理的新通道，二维码推进了线上与线下的互动，如社交服务、电子凭证、购物支付等等[2]。按照实现原理，手机二维码的应用可以分成三类模式：

（1）解码上网/通信

根据内容来划分，二维码的解码结果可以是URL、SMS、邮件、电话号码、文本信息等。如果是URL，手机会调用浏览器直接打开该链接，用户可以进行数据浏览或下载，如打开商品链接、下载优惠券、信息查询等。如果是sms：//或tel：//开头的内容，手机会直接打开短信功能或进行拨号，具体操作取决于二维码解析规则的编写。

（2）数据识读

火车票就将二维码作为乘客信息的载体，最初的二维码采用明文存储信息，为了避免不法分子恶意利用信息，目前已经对数据进行了加密。很多商家采用二维码作为电子名片、会员卡的载体。用户的信息被存储在二维码中，商家用识读软件扫描后信息直接推送到服务器中，服务器终端数据会实时进行更新，整个过程省去了人工录入环节，增大了信息容量，实现了电子数据的快速交换和实时更新。

（3）解码验证

在电子票务、电子回执、手机支付等应用服务中，用户通过手机二维码就能证明自己的自然身份、通讯身份或交易身份，这种模式突破了传统受理终端的业务模式。用户通过扫描支付二维码实现手机的下单和支付过程，商家通过专用识读设备读取身份信息来完成验证过程，实现了用户自助化。

2 手机二维码的安全问题

作为一种信息载体，二维码本身并不含有病毒。许多不法分子只是借助二维码作为一种工具来广泛实施恶意行为，严重危害用户的利益和隐私。目前手机二维码的安全问题主要存在以下几方面：

（1）恶意的内容链接

目前，大多数二维码承载的内容是一个URL，而现在的扫描软件往往不会对链接的安全性进行检测，恶意链接往往指向挂马网站、钓鱼网站、恶意软件安装链接等。用户点击带有流氓插件的网站后，木马或恶意软件会被浏览器自动下载到本地。有的链接对于Android系统是直接定位APK下载，对于IOS系统则指向App Store应用页面，用户一旦点击安装，手机就会感染木马。这类攻击严格上不算是病毒，应该属于社会工程学范畴，用户往往因为疏于防范而中招。

（2）生成和传输环节存在漏洞

二维码，尤其是进行身份认证的，在生成和传输过程中常常存在被拦截和篡改的可能，不法分子可能伪造链接钓鱼网站的二维码，诱导用户扫码，导致信息泄露。

以二维码支付为例，黑客可以利用二维码的编码特性和APK的其他漏洞，拦截客户端发出的付款二维码进行恶意篡改，或者在扫描付款的客户端中插入恶意代码，通过在用户扫码交易时篡改数据，使资金流向黑客的账户里。另外，用户在使用二维码登录电脑终端的账号时，可能存在服务端的校验无法解决客户端屏幕劫持等问题，黑客也可能通过二次打包、跨站请求伪造攻击、Android Hook等方式劫持用户客户端数据，导致用户信息被盗。

（3）智能终端安全性低

由于硬软件方面存在局限性，手机不能像电脑一样安装功能全面的安全软件，手机环境的复杂性使其面临着多种潜在的安全威胁，比如手机病毒、木马插件等，这些威胁会利用系统或软件存在的漏洞来实现远程控制或恶意破坏的目的。

以浏览器为例，针对带有网址链接的二维码，软件在扫码时会调用浏览器的解释引擎，如果浏览器存在缓冲区溢出漏洞，恶意分子就可能针对这些漏洞编写特定的URL，植入恶意的HTML/JS代码，以获得系统root权限。

（4）身份认证机制不够

通信安全的关键问题是手机用户的身份认证过程。网上银行可以利用数字签名、SSL、UBS key等手段来保护账户的安全性以及数据的完整性、保密性和不可否认性，但是手机终端的运行能力和存储空间与电脑终端不同，复杂的认证过程并不适用于网络环境。目前的手机支付终端在完成二维码扫描后，一般只要求输入支付密码或者短信验证码，甚至可以通过短信重置密码，这种支付过程的验证方式过于单一，存在短信劫持、篡改密码等问题。

（5）开源类库

二维码解析程序中往往需要引用开源类库，如Google的Zxing，这些类库有可能被不法分子利用，因为可执行文件的输入表只提供了动态链接库的名称，没有其它详细信息，当黑客通过不法手段劫持或替换正常的so文件，或者替换原有的API地址为自己的so中API地址，病毒木马就可以随着文档的打开而加载自身。如果软件装载动态链接库以及可执行文件的方式存在问题，黑客可以利用该漏洞在应用程序搜索的一个目录中植入伪装的恶意软件，当应用程序查找.so、.apk文件时，就可能启动恶意程序。

（6）标准规范不一

目前，我国主要采用国外的码制，如QR码及DM码，还有汉信码等多种国产码制，码制的不统一造成了二维码生成和解析的多样化。对于不同编码格式或者经过加密的二维码，用户手机在进行解码时可能出现问题。另外，虽然二维码本身承载的数据是安全的，但是有些软件却有一套自己的解析规则，只要使用该软件进行扫码就会自动执行指定功能。这个自动的执行过程，使得安全数据立刻变成恶意信息，例如，无论用户输入什么信息，生成的二维码内容都是一个恶意网址链接。

3 防治策略

手机二维码的产业链涉及多个环节，包括手机厂商、运营、二维码技术提供商、业务提供商、媒体、手机用户等，每种二维码应用也往往混合了多种应用模式，环境的复杂性增加了安全防护的难度，因此需要从多方面进行考虑。

（1）做好顶层设计

首先，营造一个健康有序的二维码生态环境，从顶层架构促使二维码行业形成统一编码/解析体系、统一行业规范、统一应用标准，规范二维码的制作、传输、验证环节。根据使用类型的不同，制定相适应的二维码标准，如针对二维码支付，就需要银行、商家、第三方平台、监管部门的共同协商。

（2）确保数据安全

从本源数据安全入手，才能有效防患于未然。采用灵活且有针对性的加密技术，增加防篡改机制，可以构建一种准硬件级别的动态多维码技术。通过动态加密算法、P2P校验等先进技术，融入时间、空间、行为、设备指纹等多重安全因子，有效防止偷拍、截屏、伪造、攻击等安全威胁，确保凭证安全和交易安全。

（3）安全加固软件

二维码软件厂商在设计二维码的解析引擎时，需增强反编译能力，可以通过加密、加壳、RPC、动态加载等技术对客户端进行全面的安全加固，加固服务包含DEX文件加密、资源文件加密、xml文件保护、so文件保护等，以对抗逆向工程，代码注入、非法扣费等恶意行为。同时，可以引入第三方机构提供的URL黑名单对网址进行安全检测，及时提醒和拦截，扫描二维码时验证发布者的身份真实性，以保证二维码是安全可靠的。

（4）加强身份认证

首先，身份认证可以加入多因素识别手段，如指纹识别、声纹识别等生物识别手段。其次，二维码支付可以采用WPKI认证，即无线公钥体系，不同于PKI的验证和加密算法，WPKI采用了优化的ECC椭圆曲线加密和压缩的X.509数字证书，更适用于无线互联网环境[3]。基于WAP网络环境，移动运营商是保证整个支付过程的关键部分，用户、商家、第三方平台、银行之间能进行互相认证，并且降低WPKI证书的数据长度和处理难度，以适应手机终端的环境。

4 结论

手机二维码的安全是一个系统工程，需要政府、运营商、厂商、用户等多方的共同努力，针对二维码的特性和需求发展，尽量从源头上减少二维码承载恶意行为的可能性，保障广大手机用户的信息和财产安全，让人们在享受二维码便利性的同时最大限度实现安全。

[1]于英政.QR二维码相关技术的研究[D].北京交通大学，2014.

[2]王杨.二维码传播信息的应用及分析[D].山西大学，2013.

[3]韩景灵，张秀英.基于WPKI技术的安全移动支付系统研究[J].计算机技术与发展，2014.

图1 基于指挥信息系统的体系作战能力框架示意图

在开发面向不同作战需求的指挥信息系统时，首先应该考虑如何实现各类装备各系统的互联互通互操作、持续态势感知和共享，从而实现信息、数据和作战态势的自同步，获得信息优势和决策优势。在形成信息支撑能力后，实现指挥信息系统对具体作战需求和使命任务的有效支撑。

信息支撑能力是设计任何武器装备体系都应首要考虑的底层通用能力需求。态势信息流、状态信息流和指控信息流等构成了一种复杂的信息流过程，反映了各系统的相互作用和联系。

5 结束语

军队信息系统集成建设，必须以创新作战理论、指挥方式为牵引，把满足作战需求，提高信息化作战能力作为出发点和落脚点。准确把握各级各类作战指挥、作战保障、武器控制、后勤保障等要素对信息系统集成的需求，把信息优势转化为联合作战的整体优势，实现联合作战、联合保障、联合决策、联合制胜。

参考文献：

[1]刘兴，赵敏.信息和知识的度量[J].指挥信息系统与技术，2013.

[2]刘兴，梁维泰，赵敏.一体化空天防御系统[M].北京：国防工业出版社，2011.

[3]罗伟其，姚国祥.信息大系统的集成结构模型设计与实现[J].计算机工程与应用，2001.

[4]任连生.基于信息系统的体系作战能力概论[M].1版.北京：军事科学出版社，2009.

[5]舒宇，谭跃进.基于能力需求的武器装备体系结构描述方法研究[J].军事运筹与系统工程，2009.